Anker nos ha demostrado en los últimos meses que cuando un fabricante de cámaras de seguridad afirma que las grabaciones quedan almacenadas únicamente en local, hay que desconfiar. La firma ha sido protagonista de uno de los últimos escándalos en cuanto a seguridad en el hogar. Y es que varios usuarios afirmaban poder ver las emisiones de sus cámaras de seguridad Eufy de Anker desde cualquier dispositivo haciendo uso de un reproductor como VLC, suponiendo un grave problema de seguridad que afectaría a todos los usuarios con este producto.
El compromiso de Anker sobre el almacenamiento de vídeo "únicamente en local" y con "cifrado de extremo a extremo de grado militar" se evaporó rápidamente cuando la gente se hizo eco de la noticia. Ahora la compañía ha admitido finalmente que, efectivamente, sus cámaras de seguridad no disponían de cifrado de extremo a extremo de forma nativa. Desde Xataka Smart Home hemos contactado con Anker para más información al respecto, por lo que actualizaremos en cuanto conozcamos más detalles.
Cómo cualquier usuario podía conectarse a la emisión en directo de una cámara de seguridad Eufy
El medio The Verge le dio un ultimátum al fabricante poco después de conocerse que, durante el Día de Acción de Gracias en Estados Unidos, Paul Moore, consultor en seguridad, y un hacker que se hace llamar Wasabi en redes, pudieron conectar con un vídeo en directo de sus cámaras de seguridad Eufy a través de un reproductor como VLC. Lo único que tuvieron que hacer fue retransmitir en directo a través de los servidores de Eufy y conectarse a la emisión a través de una dirección única. Esta dirección se podía obtener entrando en el modo de depuración del navegador y extrayendo el enlace de la emisión. Moore publicaba un vídeo para explicar detalladamente el proceso.
Ah well, the cats out the bag now... so may as well tell you.
— Paul Moore - Security Consultant (@Paul_Reviews) November 25, 2022
You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.
Please don't ask for a PoC - I can't release this one.
Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
Esto hubiera pasado algo más desapercibido si Anker no promocionara su producto como un dispositivo que almacena vídeo "en local" y que dispone de "cifrado de extremo a extremo". Sin embargo, parece que lo que se "les pasó" cifrar eran las retransmisiones en directo que se podían seguir desde la plataforma de Eufy si un usuario iniciaba sesión con sus credenciales (y cualquier otra persona si disponía de la dirección).
Para resumir el problema, es como si tú subes un vídeo a YouTube como "oculto". De esta manera, nadie sabrá que has subido un vídeo si no compartes el enlace, pero realmente el vídeo se queda almacenado en los servidores y es perfectamente visible si alguien obtiene el enlace al vídeo (sin mencionar que hay páginas webs que recopilan vídeos en oculto de YouTube).
Anker se disculpa y ya tiene soluciones
Tal y como mencionan desde The Verge, finalmente la compañía ha admitido que sus cámaras de seguridad Eufy no contaban con cifrado de extremo a extremo cuando se trataba de realizar una emisión en directo, sino que el cifrado ocurría cuando se almacenaba un vídeo procedente de la cámara.
El problema parece estar ya solucionado para buena parte de sus usuarios, ya que según asegura Anker, han actualizado sus cámaras de seguridad a WebRTC, aplicación que utiliza encriptación por defecto. Sin embargo, según menciona The Verge, aún es posible que estas cámaras puedan todavía producir emisiones sin cifrar bajo previa solicitud. Bajo estas líneas se encuentran las declaraciones de Eric Villines, responsable global de comunicaciones en Anker:
Anteriormente, tras acceder a nuestro portal web seguro en eufy.com, un usuario registrado podía entrar en modo de depuración, utilizar la DevTool del navegador web para localizar la transmisión en directo y, a continuación, reproducir o compartir ese enlace con otra persona para que lo reprodujera fuera de nuestro sistema seguro. Sin embargo, habría sido decisión del usuario compartir ese enlace, y habría necesitado iniciar sesión primero en el portal web de eufy para obtener este enlace.
Hoy, basándonos en los comentarios del sector y por precaución, el portal web de eufy Security prohíbe a los usuarios entrar en el modo de depuración, y el código se ha reforzado y ofuscado. Además, el contenido del streaming está cifrado, lo que significa que las retransmisiones ya no se pueden reproducir en reproductores multimedia de terceros como VLC.
La compañía también se ha disculpado por la falta de comunicación y ha prometido mejorar su modus operandi. Anker ha confirmado que está contratando a empresas externas de seguridad para auditar las prácticas de Eufy. Además, la empresa está en conversaciones con un "destacado y conocido experto en seguridad" para elaborar un informe independiente, prometiendo además desarrollar un programa de recompensas por detección de fallos de seguridad y una web para explicar el funcionamiento de su seguridad en detalle.
Conocer los informes de empresas de seguridad externas ayudarán a la compañía a volver a ganar la reputación que había adquirido con sus productos, ya que difícilmente los usuarios volverían a confiar en ella por sí solos.
Imagen de portada | Anker Eufy