Anker admitió que sus cámaras inteligentes Eufy no cuentan con cifrado de extremo a extremo de forma nativa, por lo que fue posible acceder remotamente a transmisiones en directo de las cámaras utilizando el reproductor multimedia VLC. Tras meses de evasivas y de comunicados donde aseguraban que el metraje se cifraba, la compañía aceptó que mintió, no sin antes revelar que han solucionado el problema en gran medida.
La compañía emitió un comunicado a The Verge disculpándose por la situación y detalló los pasos que tomará para que esto no vuelva a ocurrir. Eric Villines, jefe global de comunicaciones de Anker, dijo que el fallo de seguridad se debió a una función de vista en vivo agregada a la web para que el usuario pudiera extender el monitoreo de seguridad. "El portal web fue diseñado para requerir que el usuario inicie sesión, pero no fue diseñado usando cifrado de extremo a extremo", mencionó.
Anteriormente, después de iniciar sesión en nuestro portal web seguro en eufy.com, un usuario registrado podía ingresar al modo de depuración, usar la DevTool del navegador web para ubicar la transmisión en vivo y luego reproducir o compartir ese enlace con otra persona para jugar fuera de nuestro sistema seguro. Sin embargo, esa habría sido la elección del usuario para compartir ese enlace, y primero habría tenido que iniciar sesión en el portal web de eufy para obtener este enlace.
Hoy, según los comentarios de la industria y por precaución, el portal web de seguridad de eufy ahora prohíbe a los usuarios ingresar al modo de depuración, y el código se ha reforzado y ofuscado. Además, el contenido de la transmisión de video está encriptado, lo que significa que estas transmisiones de video ya no se pueden reproducir en reproductores multimedia de terceros como VLC.
Anker minimizó el hecho y aseguró que no hubo fuga de datos
Villines trató de minimizar el hecho asegurando que menos del 0,1 por ciento de los usuarios activos utilizan esta función. No obstante, la compañía se responsabilizó por no haber diseñado esta solución usando los protocolos de encriptación. Anker mencionó que cada solicitud de transmisión en directo que se origine en la web de Eufy ya está cifrada.
Actualmente, todos los videos (en vivo y grabados) compartidos entre el dispositivo del usuario y el portal web de eufy Security o la aplicación eufy Security utilizan cifrado de extremo a extremo, que se implementa mediante algoritmos AES y RSA.
Además, cuando un usuario utiliza la aplicación de seguridad eufy para acceder a videos desde sus dispositivos, la conexión entre la aplicación de seguridad eufy y el dispositivo del usuario se cifra de extremo a extremo a través de un servicio P2P seguro.
La empresa confirmó que implementarán WebRTC en todas las cámaras de Eufy, ya que encripta de forma predeterminada. Los modelos más recientes, Homebase3 y eufyCam3/3C, incluyen WebRTC, por lo que son seguros, mientras que el resto comenzó a recibir actualizaciones de firmware desde la semana pasada.
Anker también mencionó que no ha habido fuga de datos ni violación al GDPR u otras leyes de protección de datos. De igual modo, declaró que eufy Security no accede a las grabaciones de video de los usuarios, ni a sus datos biométricos o de reconocimiento facial. "Todos estos procesos se realizan y almacenan localmente", dijo
Tampoco se disculpó por transmitir video sin cifrar
La respuesta de Anker llega ante la amenaza de publicar una pieza editorial detallando su negativa a hacerse responsables por los fallos de seguridad de sus cámaras Eufy. Desde un principio, la empresa negó los hechos y posteriormente intentó desviar la atención con un comunicado escueto que no abordaba el problema. Ahora no le ha quedado otra opción que aceptar el error y detallar los pasos a seguir para evitar que ocurra de nuevo.
La estrategia incluye una auditoría externa de los sistemas de seguridad para descubrir fallos potenciales y resolverlos. Anker también está en negociaciones con un "conocido experto en seguridad" para redactar un reporte independiente. También prometió que creará un programa de recompensas para identificar vulnerabilidades.
A la fecha, la compañía no se ha disculpado por lo sucedido. Anker mencionó que se pondrá en contacto con sus clientes en febrero para ofrecer una actualización sobre lo ocurrido. "En ese momento, y con todos estos detalles presentados de manera más transparente, podemos ofrecer una disculpa más reflexiva", mencionó Villines.