Na semana passada, comentamos as descobertas de um pesquisador de segurança sobre problemas envolvendo algumas câmeras da eufy, as quais têm enviado imagens e informações para a nuvem sem o consentimento dos proprietários.
Até então, esperava-se que a fabricante interrompesse esse comportamento; no entanto, conforme observado pela ZDNet, o maior problema não é que a eufy estava enviando imagens para a nuvem, mas sim que ela não informava isso aos usuários.
Agora, uma nova atualização do aplicativo Eufy Security traz informações de que as imagens em miniatura são enviadas para os servidores da empresa. Conforme as notas de liberação:
Adiciona uma instrução de que o serviço de nuvem estará envolvido quando os usuários optarem por enviar notificações em miniatura.
Mais precisamente, o aplicativo da fabricante fornece algumas opções de notificações. Por exemplo, os usuários podem escolher que as notificações sejam exibidas apenas em texto ou que mostrem tanto texto quanto uma imagem em miniatura da câmera. Se o usuário selecionar a segunda opção, a eufy continuará carregando as imagens para a nuvem.
Para aqueles que não desejam que seus dados sejam carregados na nuvem, é recomendável que você altere seu tipo de notificação para “Mais Eficiente”, em vez de “Incluir Miniatura”.
A empresa, porém, ainda precisa resolver um problema o qual permite que os conteúdos das suas câmeras sejam acessados usando aplicativos como o VLC, uma vez que os fluxos de imagens não são criptografados e podem ser acessados sem autenticação.
Atualização20/12/2022 às 12:30
A eufy compartilhou uma declaração em que aborda a segunda grande preocupação de privacidade envolvendo seus produtos, pela qual era possível reproduzir imagens ao vivo de uma câmera por meio de aplicativos como VLC.
Apenas uma pequena parte da declaração aborda esse problema específico e a fabricante “jogou” a responsabilidade para o usuário que deliberadamente quis compartilhar o link de visualização das câmeras em tempo real com outra pessoa.
E para o vídeo que pode ser compartilhado por um link de URL e aberto por um player de terceiro, por favor, a nossa resposta é a segunte:
Hoje, cerca de 1% do total de usuários acessa suas contas por meio do nosso portal na web. De acordo com nosso design, antes de acessar qualquer informação, usuários devem fazer login em suas contas. Os links de URL só podem ser obtidos e compartilhados pelos próprios usuários e serão válidos apenas temporariamente. Será uma escolha pessoal se você obtiver sua própria URL e compartilhá-la com outras pessoas. Mesmo assim, queremos garantir a todos que melhoramos esse ponto — mesmo depois que usuários obtêm o link da URL fazendo login em suas contas, ele não pode ser reproduzido por meio de um player de terceiro ou compartilhado com outras pessoas. Além disso, fechamos a porta do modo de desenvolvedor do navegador para evitar um processo semelhante ao demonstrado por Paul Moore em seu vídeo.
Apesar disso, como confirmado pelo The Verge, a eufy fez algumas alterações no seu portal, impedindo que usuários usassem o mesmo método para obter um URL de transmissão. Além disso, a fabricante agora também usa fluxos mais difíceis de serem rastreados.
