2021/05/19

Eufy deixou ver câmaras de outros utilizadores

A Eufy é a mais recente empresa que "meteu água", com um bug que permitiu ver as câmaras de outros utilizadores, levantando sérias preocupações quanto à prometida segurança e encriptação end-to-end.

Como se não bastassem as preocupações com vulnerabilidades, backdoors, hackers e malware, desta vez temos mais um caso de uma falha que chegue por via oficial da marca, com alguns utilizadores com câmaras Eufy a relatarem que ficaram com acesso às contas de outros utilizadores, podendo ver as suas gravações, streaming em directo, e detalhes das contas.

A Eufy diz que o problema se deveu a um bug durante a actualização de um servidor, e que só afectou 0.001% dos utilizadores, mas não elaborou como é que um bug terá permitido que os utilizadores tivessem acesso aos streams - que supostamente contam com encriptação end-to-end - de outros utilizadores. Não menos estranho é que, para aparentemente rectificarem a situação, os utilizadores teriam que desligar a câmara da tomada e voltar a ligá-la, e também fazer logout do serviço e voltar a fazer login; levantando a questão do que acontecerá se não fizerem isso, e porque motivo - sendo uma falha de segurança tão grave - a empresa não terá forçado o logout automático dos utilizadores e um reboot das câmaras, para evitar potenciais abusos.


Infelizmente este não é o primeiro caso em que câmaras ligadas a serviços na cloud ficam "baralhadas" e deixam que outros utilizadores vejam o que não deviam, e arrisco-me a dizer que não será o último. Embora estes serviços via cloud ofereçam comodidade acrescida a nível de ter as coisas a funcionar sem terem que perder tempo com configurações, quem levar a segurança mais a sério deverá considerar seriamente utilizar câmaras unicamente com ligação à rede local (sem acesso à internet), e que possam ser acedidas remotamente via uma VPN para casa.

Sem comentários:

Enviar um comentário (problemas a comentar?)