Depois de uma longa onda de críticas, a Anker veio finalmente admitir que as suas câmaras de segurança Eufy não transmitem os dados de forma inteiramente encriptada, como seria de esperar.
Este caso remota a Novembro de 2022, quando dois investigadores de segurança confirmaram que era possível aceder à transmissão das câmaras de videovigilância Eufy, usando apenas o leitor multimédia VLC. Isto era possível tendo em conta que as câmaras estariam a enviar os dados de forma não encriptada para os servidores da empresa.
Ao mesmo tempo, a câmara encontrava-se ainda a recolher todas as caras que passavam em frente das mesmas, enviando os dados para os servidores da empresa, e a piorar a situação, estes servidores não se encontravam inteiramente protegidos – e poderiam ser usados em ataques para se obter acesso aos dados armazenados nos mesmos.
Na altura, a empresa negou a existência desta falha. No entanto, de acordo com o portal The Verge, foi posteriormente descoberto que além do armazenamento de dados de forma insegura, as câmaras estariam também com falhas na transmissão em tempo real, onde qualquer utilizador poderia aceder às mesmas e verificar a transmissão.
Face a estas descobertas, a Anker veio agora deixar mais detalhes sobre o caso, praticamente confirmando que a entidade não estaria a encriptar os conteúdos da transmissão das câmaras, o que no final iria permitir o acesos de terceiros.
Em comunicado, a empresa afirma que as câmaras, dependendo do plano dos utilizadores, podem recolher imagens que são enviadas para os servidores da empresa, e isso inclui imagens de rostos através do sistema de deteção de movimento.
A câmara cria uma pré-visualização da captura, e envia as mesmas para os servidores da empresa – no entanto, estes conteúdos apenas se encontram encriptados a nível do servidor remoto, e durante a transmissão os dados são enviados de forma insegura.
A empresa sublinha ainda que, através da app Eufy Security, os utilizadores podem optar por receberem notificações de texto quando a câmara identifica movimento, ou que seja enviado uma pequena imagem da mesma – no entanto, caso o utilizador escolha esta segunda opção, as imagens são capturadas e enviadas para os servidores da Anker, algo que não estaria claro nas permissões da app.
No entanto, a empresa também confirmou que as suas câmaras não estariam a encriptar os conteúdos ponta a ponta, e que isso estaria a permitir que as transmissões das câmaras fossem recolhidas por terceiros.
A empresa sublinha que este problema foi agora resolvido, e que todas as comunicações e envios de dados são feitos agora de forma encriptada e segura. Ao mesmo tempo, a empresa sublinha que vai começar a atualizar todas as câmaras da linha Eufy para usarem o protocolo WebRTC, que deve fornecer melhorias a nível da encriptação de dados.
Nenhum comentário
Seja o primeiro!