Quando si parla di videocamere di sicurezza, non c’è niente di peggio di scoprire di non essere stati veramente al sicuro, come dimostra l’inchiesta contro i prodotti Eufy di Anker. Forse alcuni di voi si ricorderanno quando nel 2020 fu Xiaomi a finire sotto i riflettori a causa di seri problemi di sicurezza per le sue IP camera di sorveglianza. Questa volta il caso non è altrettanto grave, ma mette in cattiva luce l’operato di Anker, che dopo essere stata accusata smentì in maniera categorica salvo poi ritrattare in queste ore: ma vediamo nel dettaglio cos’è successo.
Dopo l’inchiesta di un ricercatore, Anker ammette i problemi di sicurezza delle videocamere Eufy
A fine 2022, il ricercatore Paul Moore aveva sollevato un polverone su Twitter, pubblicando prove video che smentivano le affermazioni di Anker, secondo cui le sue videocamere Eufy salverebbero i dati acquisiti soltanto in locale, sottolineando come questi “non lasciano mai la sicurezza della tua casa” e che i filmati verrebbero trasmessi soltanto al telefono utilizzando crittografia end-to-end. Quello che venne scoperto fu non soltanto che i dati andavano invece in cloud (anche quando disattivato), ma persino senza crittografia end-to-end, potendo così essere guardati su programmi come VLC, con tutti i rischi che ne conseguono.
Fortunatamente, i test condotti hanno dimostrato che il flusso dati in cloud funziona solo sulle videocamere accese ed è protetto da nome utente e password, dati di cui un malintenzionato potrebbe comunque entrare in possesso. Anche perché è stato dimostrato che per capire l’indirizzo del feed di una videocamera Eufy basterebbe sapere il numero seriale dell’unità presa di mira e altri dati facilmente calcolabili. Una persona potrebbe acquistare una IP Camera Eufy, rimetterla in vendita sui mercatini dell’usato e avere poi accesso alle riprese dell’ignara vittima; inoltre, alcuni modelli Eufy avrebbe il seriale direttamente stampato sulla scatola.
La risposta iniziale di Anker fu categorica, affermando che fosse tutto falso: “non è possibile avviare uno streaming e guardare filmati dal vivo utilizzando player di terze parti come VLC“. Successivamente, la compagnia fu pizzicata nel modificare la sua politica della privacy, eliminando le voci che facevano riferimento al mantenimento dei dati privati con crittografia. A due mesi di distanza dall’inchiesta, Anker ha finalmente ammesso i problemi delle videocamere Eufy, confermando l’assenza di crittografia end-to-end. La compagnia cinese afferma anche di aver risolto in gran parte il problema: gli streaming video sono ora crittografati e sta aggiornando ogni singola videocamera, oltre ad affiancarsi a team di ricercatori di terze parti che rilascino report indipendenti per assicurare la bontà delle sue azioni. Ecco il comunicato ufficiale:
“In precedenza, dopo aver effettuato l’accesso al nostro portale Web protetto all’indirizzo eufy.com, un utente registrato poteva accedere alla modalità di debug, utilizzare DevTool del browser Web per individuare lo streaming live e quindi riprodurre o condividere quel collegamento con qualcun altro per giocare al di fuori del nostro sistema protetto. Oggi, sulla base del feedback del settore e per un’abbondanza di cautela, il portale Web eufy Security ora impedisce agli utenti di accedere alla modalità di debug e il codice è stato rafforzato e offuscato. Inoltre, il contenuto del flusso video è crittografato, il che significa che questi flussi video non possono più essere riprodotti su lettori multimediali di terze parti come VLC. Il design precedente del nostro portale Web presentava alcuni problemi, che da allora sono stati risolti.
Oggi, tutti i video (in diretta e registrati) condivisi tra il dispositivo dell’utente e il portale web eufy Security o l’app eufy Security utilizzano la crittografia end-to-end, che viene implementata utilizzando gli algoritmi AES e RSA. Inoltre, quando un utente utilizza l’app eufy Security per accedere ai video dai propri dispositivi, la connessione tra l’app eufy Security e il dispositivo dell’utente viene crittografata end-to-end tramite un servizio P2P sicuro. I dispositivi Homebase3 ed eufyCam3/3C rilasciati nell’ottobre 2022 utilizzano WebRTC per la comunicazione crittografata end-to-end quando si utilizza il portale Web per accedere ai live streaming in un browser. E stiamo implementando WebRTC su TUTTI i dispositivi eufy Security in questo momento.“
⭐️ Scopri le migliori offerte online grazie al nostro canale Telegram esclusivo.
