Las grabaciones de la cámara de seguridad Anker eufy se pueden ver supuestamente en un reproductor multimedia sin encriptación

Un fotograma supuestamente extraído de la grabación de una cámara eufórica. (Fuente: Wasabi Burns vía Twitter)

La marca de seguridad doméstica de Anker, eufy, ha construido su nombre sobre la afirmación de que las imágenes grabadas con sus cámaras se almacenan de forma segura y solo llegan al dispositivo del usuario a través de un "cifrado de grado militar de extremo a extremo". Sin embargo, The Verge afirma ahora que puede demostrar que algunas de estas afirmaciones son técnicamente falsas, citando algunos hallazgos publicados en Twitter por investigadores.

Deirdre O'Donnell, Published 12/04/2022 🇺🇸 🇫🇷 ...

Un ingeniero de seguridad que se identifica como Wasabi Burns en Twitter o como spicywasabi en infosec.exchange posee abiertamente eufy sin embargo, ha anunciado su intención de "arrancarlas todas" tras la detección de vulnerabilidades que permiten acceder a sus grabaciones mediante una aplicación de reproducción de vídeo de uso común.

La sub-marca Anker asegura que el método en cuestión no debería ser posible, ya que los datos audiovisuales de las cámaras se almacenan localmente y con una sólida encriptación. Sin embargo, Wasabi Burns ha respaldado a otro investigador, Paul Mooreen su afirmación de que esto no es así.

Ambas cuentas de Twitter afirman ahora que VLC Media Player - que se puede descargar gratuitamente, puede utilizarse para iniciar una transmisión "sin cifrado" desde un eufy cámara activa, simplemente conectándose a una dirección de servidor en la nube supuestamente "única".

En su artículo para The Verge, Sean Hollister afirma haber replicado en https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storageesta técnica de forma que permitía tal conexión con una cámara en el lado opuesto de los Estados Unidos

El acceso a la dirección en cuestión requería un inicio de sesión protegido por contraseña y que la cámara en cuestión fuera despertada por un tercero in situ; no obstante, Hollister sostiene que no son advertencias tranquilizadoras.

Como "consisteen gran medida en su número de serie codificado en Base64", así como en una marca de tiempo de Unix fácil de fabricar, la dirección necesaria para muchas otras cámaras podría ser objeto de ingeniería inversa en la tienda local Best Buy.

Además, The Verge también afirma ahora que un Anker negó rotundamente que fuera posible iniciar estos flujos en VLC cuando se le pidió que comentara

Por otra parte, Hollister ha publicado desde entonces una actualización en la que señala que ahora es menos fácil promulgar el método, lo que puede indicar que eufy está abordando la vulnerabilidad en cuestión.

Sin embargo, Moore insiste en que esto es sólo la punta del iceberg de los incidentes de seguridad de eufy https://sec-consult.com/blog/detail/the-eufycam-long-term-observation/afirmando, por ejemplo, que ha descubierto su clave de encriptación https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage ya que es demasiado básica

Aunque eufy ha emitido una respuesta a estas afirmaciones, Moore considera que "no ha entendido nada" y, al parecer, ha expresado su intención de emprender acciones legales contra Anker.

Por suerte, hay otras opciones a la hora de considerar un sistema de seguridad para el hogar, PoE incluido.