Quando si parla di telecamere per la sicurezza domestica, il discorso privacy è fondamentale. Al riguardo, la maggior parte delle aziende produttrici di soluzioni parte della categoria afferma di mantenere al sicuro i dati degli utenti. Tra esse, il marchio Eufy di Anker, che tra l’altro è uno dei più diffusi del settore, dichiara di mantenere le registrazioni degli utenti locali, ma un ricercatore di sicurezza ha dimostrato che le cose non stanno propriamente in questo modo: i filmati ricavati non solo andrebbero nel cloud, ma resterebbero visibili anche dopo la loro cancellazione.
Eufy: registrazioni sul cloud anche in caso di funzione disattivata
Andando più in dettaglio, il ricercatore Paul Moore ha condiviso su Twitter un post, visibile di seguito con tanto di video dimostrativo, con cui descrive uno scenario decisamente allarmante relativo ai prodotti per la sicurezza domestica di casa Eufy, mostrando come le telecamere inviino sul cloud dati che dovrebbero in realtà essere memorizzati localmente. Questo accade pure quando l’archiviazione sul cloud è disattivata.
You have some serious questions to answer @EufyOfficial
Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud – without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB
— Paul Moore – Security Consultant (@Paul_Reviews) November 23, 2022
La problematica è stata scoperta sul campanello Video Doorbell Dual di Eufy, ma riguarda anche altre soluzioni dell’azienda, come hanno avuto modo di testare ulteriori utenti. Moore mostra come il dispositivo carichi dati di riconoscimento facciale dalla videocamera ai server di Eufy, con informazioni identificabili allegate, e come questi non siano stati effettivamente rimossi dai server dell’azienda quando i filmati vengono eliminati dall’app.
Il ricercatore sottolinea altresì come Eufy abbia sfruttato i dati di riconoscimento facciale di due diverse telecamere su account differenti per collegare le informazioni di ciascuno e come Eufy non avverta mai l’utente di ciò che succede.
Ancora più allarmante è stato poi scoprire che i filmati in questione non sono crittogorafati e infatti usando il lettore multimediale VLC è possibile accedere al feed della telecamera senza dover effettuare alcuna autenticazione.
Moore ha ovviamente già provveduto ad attenzionare Eufy riguardo la scoperta fatta, ma l’azienda ha dato spiegazioni poco convincenti sulla questione, sminuendone la gravità. Inoltre, a seguito dei tweet, Eufy ha crittografato le chiamate al server per coprire le sue tracce e a rimosso quelle che mostrano le immagini memorizzate (ma non il filmato).
Ti potrebbe interessare
30 nov 2022