Eufy: registrazioni locali trasmesse sul cloud e non criptate

Eufy: registrazioni locali trasmesse sul cloud e non criptate

Un ricercatore ha scoperto che le registrazioni di Eufy vanno nel cloud anche quando la funzione è disattivata e non vengono criptate.
Un ricercatore ha scoperto che le registrazioni di Eufy vanno nel cloud anche quando la funzione è disattivata e non vengono criptate.

Quando si parla di telecamere per la sicurezza domestica, il discorso privacy è fondamentale. Al riguardo, la maggior parte delle aziende produttrici di soluzioni parte della categoria afferma di mantenere al sicuro i dati degli utenti. Tra esse, il marchio Eufy di Anker, che tra l’altro è uno dei più diffusi del settore, dichiara di mantenere le registrazioni degli utenti locali, ma un ricercatore di sicurezza ha dimostrato che le cose non stanno propriamente in questo modo: i filmati ricavati non solo andrebbero nel cloud, ma resterebbero visibili anche dopo la loro cancellazione.

Eufy: registrazioni sul cloud anche in caso di funzione disattivata

Andando più in dettaglio, il ricercatore Paul Moore ha condiviso su Twitter un post, visibile di seguito con tanto di video dimostrativo, con cui descrive uno scenario decisamente allarmante relativo ai prodotti per la sicurezza domestica di casa Eufy, mostrando come le telecamere inviino sul cloud dati che dovrebbero in realtà essere memorizzati localmente. Questo accade pure quando l’archiviazione sul cloud è disattivata.

La problematica è stata scoperta sul campanello Video Doorbell Dual di Eufy, ma riguarda anche altre soluzioni dell’azienda, come hanno avuto modo di testare ulteriori utenti. Moore mostra come il dispositivo carichi dati di riconoscimento facciale dalla videocamera ai server di Eufy, con informazioni identificabili allegate, e come questi non siano stati effettivamente rimossi dai server dell’azienda quando i filmati vengono eliminati dall’app.

Il ricercatore sottolinea altresì come Eufy abbia sfruttato i dati di riconoscimento facciale di due diverse telecamere su account differenti per collegare le informazioni di ciascuno e come Eufy non avverta mai l’utente di ciò che succede.

Ancora più allarmante è stato poi scoprire che i filmati in questione non sono crittogorafati e infatti usando il lettore multimediale VLC è possibile accedere al feed della telecamera senza dover effettuare alcuna autenticazione.

Moore ha ovviamente già provveduto ad attenzionare Eufy riguardo la scoperta fatta, ma l’azienda ha dato spiegazioni poco convincenti sulla questione, sminuendone la gravità. Inoltre, a seguito dei tweet, Eufy ha crittografato le chiamate al server per coprire le sue tracce e a rimosso quelle che mostrano le immagini memorizzate (ma non il filmato).

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: 9to5Google
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 30 nov 2022
Link copiato negli appunti