Câmaras Eufy apanhadas a enviar vídeo para a cloud

Apesar de assegurarem os clientes que as suas gravações seriam mantidas localmente, as câmaras Eufy foram apanhadas a enviar vídeo para a cloud - e sem qualquer tipo de encriptação.

A Eufy está metida num grande sarilho e tem muitas explicações para dar. Apesar de nalgumas das suas câmaras garantir que apenas os legítimos utilizadores podem aceder aos vídeos, que supostamente ficariam guardados apenas em armazenamento local, um investigador verificou que as câmaras continuam a enviar informação para a cloud, incluindo informação de reconhecimento facial que depois é mantida pela empresa mesmo que o utilizador apagasse os vídeos respectivos, e fazendo cruzamento de dados entre contas de diferentes utilizadores - sem nunca informar os clientes de que isto está a ser feito.

You have some serious questions to answer @EufyOfficial

Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud - without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB

— Paul Moore (@Paul_Reviews) November 23, 2022

Se isto já seria suficientemente mau, temos ainda a surpreendente descoberta de que os streams das câmaras estavam disponíveis para qualquer pessoa ver, sem qualquer tipo de encriptação, bastando utilizar um programa tão comum como o VLC. Uma situação tão grave que o investigador nem sequer arrisca em explicar em detalhe como funciona, para que o cenário não se torne mais apocalíptico.

Ah well, the cats out the bag now... so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC - I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

A posição da empresa tem sido a de tentar minimizar estas situações, dizendo que "não são tão graves" quanto estão a fazer parecer.


Uma coisa é certa, começar a ser cada vez mais complicado conseguir confiar em qualquer câmara. Por este andar, os utilizadores só poderão confiar nas câmaras que eles próprios fizerem, com algo como um ESP32 ou um Raspberry Pi - e mesmo assim, com algum cuidado quanto aos módulos de software que forem buscar à internet.


Actualização: A resposta da Eufy é quase surreal, tendo optado por apagar as promessas de privacidade que fazia no seu site!