Sono emerse accuse decisamente gravi rivolte a Eufy, il brand che fa parte del gruppo Anker che si occupa prevalentemente di videocamere e impianti di sorveglianza. Il ricercatore Paul Moore stava testando il suo nuovo acquisto, il Doorbell Dual, scelto proprio per la grande attenzione a privacy e sicurezza pubblicizzate, ma ha scoperto che le cose non stavano proprio così. Eufy ha iniziato a correggere parte del problema, ma continua a sostenere l'esistenza di un'altra parte piuttosto importante.

EUFY E PROBLEMI DI SICUREZZA, LE ULTIME NOVITÀ

In particolare, Moore ha dimostrato che:

• Il dispositivo caricava su un server remoto thumbnail dei video e dati sul riconoscimento del volto anche senza aver mai attivato i servizi cloud di Eufy
• È possibile scaricare immagini catturate dalla videocamera e perfino l'immagine del profilo senza autenticazione se si possiede l'URL diretto. Eufy dice che i dati sono criptati, e sembra che Moore riesca a scaricarle solo perché aveva precedentemente effettuato l'accesso al proprio account Eufy dalla stessa finestra di Chrome (navigazione in incognito).
• Un'altra videocamera Eufy collegata a un altro account è riuscita a riconoscere il volto di Moore con lo stesso codice identificativo unico. Ciò significa che Eufy non solo salva questi dati su cloud, ma li condivide tra i suoi vari account.
• È possibile guardare il feed video in tempo reale della propria videocamera Eufy senza autenticazione alcuna semplicemente usando il giusto indirizzo IP pubblico. Basta inserire l'indirizzo su VLC.
• In determinate circostanze, alcune immagini caricate su cloud sono accessibili anche dopo aver cancellato completamente l'account.

Eufy ha risposto alle accuse, almeno parzialmente, dicendo che le immagini vengono caricate per questioni relative al funzionamento delle notifiche: per default le notifiche sono solo testo, ma l'utente può scegliere di attivare nelle opzioni una versione che include un'immagine. Eufy ha detto che renderà più chiaro questo passaggio. Le immagini vengono caricate su un apposito server Amazon Web Services e cancellate quando l'utente cancella la notifica, ha detto Eufy, tuttavia Moore ha dimostrato che l'immagine era disponibile anche dopo, anche se a questo punto non sappiamo per quanto tempo - potrebbe essere semplicemente una questione di tempi tecnici.

Parlando con i colleghi di Android Central, Moore dice che Eufy si sta muovendo rapidamente per risolvere i problemi emersi con la sua indagine, e che la maggior parte di essi è già stata corretta. Eufy dice di essere a norma sia dal punto di vista del GDPR, sia delle policy sulle notifiche push di Apple sia degli standard di Firebase Cloud Messaging. Il fatto è che si tratta del secondo incidente di sicurezza grave in meno di due anni: la primavera scorsa, un bug permetteva di vedere il feed delle videocamere di altri utenti senza autorizzazione. A un certo punto, diventa naturale chiedersi: chissà quali altri problemi semplicemente non sono ancora stati scoperti?

Ci sono stati degli sviluppi, ma non possiamo definirli del tutto soddisfacenti. ZDNet riporta che, come aveva già anticipato negli scorsi giorni, Eufy ha iniziato a distribuire un aggiornamento della sua app ufficiale, almeno per iOS, che spiega meglio che quando si attivano certe tipologie di notifica alcune thumbnail verranno caricate su server cloud, ma continua a negare che ci sia un problema relativo alla possibilità di avviare uno streaming senza sicurezza usando player multimediali terzi come VLC.