Si compraste una cámara de seguridad Eufy en el Black Friday, tenemos malas noticias

Eufy, la marca de cámaras propiedad de Anker, está en medio de una gran polémica después de que un investigador haya revelado serios problemas de seguridad.

2 diciembre, 2022 18:31

Adrián Raya @adrian_cal_raya

Una de las marcas que más éxito tuvo en el pasado Black Friday fue Anker, el fabricante de accesorios para móviles que se ha convertido en un gigante tecnológico gracias a sus ventas en Amazon.

[Batería infinita y placas solares: así son las nuevas cámaras de seguridad de Anker]

De hecho, Anker ya es tan grande, que su repertorio va mucho más allá de cargadores o cables; por ejemplo, tiene otras marcas como Eufy, dedicada a la seguridad en el hogar con cámaras y sensores inteligentes.

Acceso de extraños a cámaras en casa

Apenas unos días después de las mayores ventas del año, todos estos nuevos clientes se pueden encontrar con un grave problema de privacidad en su propio hogar. El experto en ciberseguridad Paul Moore confirmó hace unos días una vulnerabilidad que permitía acceder al vídeo de las cámaras desde Internet, sin necesidad de introducir nuestra contraseña ni ningún tipo de control.

El problema estaba en los servidores de Eufy, a los que se conectan las cámaras, que aceptaban la conexión a través de un reproductor multimedia como VLC, que permite contenido por streaming. Encontrar una cámara que reproducir tampoco era difícil, teniendo en cuenta que la dirección de acceso estaba basada en el código de serie de la cámara. Por lo tanto, un atacante sería capaz de acceder a lo que cualquier cámara de Eufy está grabando, en tiempo real.

So trying to gain visibility, as an owner of a Eufy product this is incredibly disappointing but apparently you can play camera streams via VLC pic.twitter.com/cCYF7KgKvi
— Wasabi Burns spicywasabi@infosec.exchange (@spiceywasabi) November 25, 2022

Esto ya es malo de por sí, pero es más preocupante aún teniendo en cuenta que precisamente una de las promesas de Eufy es que no almacena nuestros datos privados, y que toda su toda su tecnología se basa en el almacenamiento local y no en servidores externos, en teoría gracias a su “super inteligente Inteligencia Artificial” integrada en todos sus dispositivos. Para rizar el rizo, Eufy promete que los vídeos están cifrados de extremo a extremo, para que sólo nuestro móvil pueda mostrarlos; y, sin embargo, el investigador fue capaz de conectarse a cámaras sin ningún tipo de contraseña.

Además del vídeo que graban, resulta que las cámaras también envían información a servidores, incluyendo el reconocimiento facial de las personas que la cámara detecta en las imágenes. Eso no sólo sería una contradicción con lo que publicita, también podría vulnerar el reglamento europeo de protección de datos.

La respuesta de Eufy

Tal vez más preocupante que estos problemas de seguridad ha sido la reacción de Eufy ante su publicación. Para empezar, el investigador Paul Moore no ha podido hablar más sobre el tema después de “una larga discusión con el equipo legal” de Eufy; y cuando los medios especializados se hicieron eco de la noticia, la primera respuesta de la compañía fue negar la mayor, criticando la metodología del investigador en una respuesta a Android Central, y afirmando directamente que “no es posible ver vídeo en directo de una cámara usando VLC”.

En cambio, la compañía sí admitió que las cámaras envían datos a los servidores, pero explica que se debe a una función que muestra imágenes de la cámara en las notificaciones de la app móvil. Para conseguir eso, es necesario que la cámara envíe algo de información al servidor para que este la reenvíe a nuestro móvil, algo que tal vez no estaba del todo claro con las promesas de almacenamiento local; por eso, Eufy afirma que va a cambiar el lenguaje de las opciones, pero ese es el único cambio que ha prometido oficialmente.

Mientras tanto, medios como The Verge y Ars Technica consiguieron acceder a cámaras usando VLC, con investigaciones propias por separado, lo que nos dice que Eufy inicialmente no se tomó en serio la revelación del investigador Moore.

Días después, todo indica que Eufy por fin ha cambiado de parecer, y el acceso a las cámaras está siendo bloqueado por el servidor, aunque es posible que sea una medida temporal antes de realizar un cambio más profundo en el funcionamiento del servidor.

Por último, la compañía ha publicado hoy un segundo comunicado:

"eufy Security discrepa firmemente con las acusaciones vertidas contra la empresa en relación a la seguridad de nuestros productos. Sin embargo, entendemos que los acontecimientos recientes pueden haber causado preocupación a algunos usuarios. Revisamos y probamos con frecuencia nuestras funciones de seguridad y fomentamos los comentarios de la industria de la seguridad en general para asegurarnos de que abordamos todas las vulnerabilidades de seguridad creíbles. Si se identifica una vulnerabilidad creíble, tomamos las medidas necesarias para corregirla. Además, cumplimos con todos los organismos reguladores apropiados en los mercados donde se venden nuestros productos. Por último, animamos a los usuarios a que se pongan en contacto con nuestro equipo de atención al cliente si tienen preguntas."