Las cámaras de seguridad de eufy no son tan seguras como afirman

⏰ Actualización 5/12/22 12:00: eufy ha respondido ante las recientes acusaciones de falta de seguridad de sus cámaras.

Un ingeniero de seguridad llamado Wasabi Burns en Twitter posee cámaras de seguridad de la marca eufy. Sin embargo, ha anunciado su intención de deshacerse de todas ellas tras descubrir que es posible acceder sus grabaciones utilizando una aplicación de reproducción de vídeo de uso común.

De acuerdo a la publicidad de eufy, esto no debería ser posible, ya que los datos de las cámaras se almacenan localmente y con cifrado fuerte. Sin embargo, parece que no es así.

Usando el reproductor gratuito VLC Media Player, es posible iniciar una transmisión «sin cifrado» desde una cámara eufy activa, simplemente conectándose a una dirección de servidor en la nube supuestamente «única».

La gente de The Verge afirma haber reproducido esta técnica con éxito, conectándose a una cámara en el lado opuesto de los Estados Unidos.

El acceso a la URL de reproducción requiere haber iniciado sesión previamente con el usuario y contraseña de la víctima y que la cámara sea despertada por alguien en el lugar (por ejemplo, al detectar movimiento), por lo que no es algo tan grave como pudiera parecer.

No obstante, dado que la URL «consiste en gran medida en el número de serie codificado en Base64», así como en una marca de tiempo Unix fácil de fabricar y un número aleatorio 0-65535, la dirección podría ser obtenida con cierta facilidad aplicando fuerza bruta.

Un representante de Anker, compañía matriz de eufy, básicamente negó rotundamente que fuera posible iniciar esas transmisiones en VLC cuando se le contactó.

Por otra parte, el investigador ha publicado una actualización en la que señala que ahora es menos fácil poner en práctica el método, lo que puede indicar que eufy está abordando la vulnerabilidad en cuestión.