Por que você deve ter cuidado ao conectar câmeras de segurança à internet

Falhas em câmeras da Eufy e Wyze permitem que imagens sejam acessadas por terceiros; e essa pode ser só a ponta do iceberg

Emerson Alecrim
Por

Se você instala câmeras na sua casa, o faz para proteger o seu patrimônio. Mas é bom não confiar cegamente nesses dispositivos. Há cada vez mais denúncias sobre falhas em câmeras conectadas à internet. O caso mais recente envolve modelos da Eufy, marca da Anker. Também há relatos de problemas com câmeras Wyze e Amazon Ring.

Câmera Doorbell Dual (imagem: divulgação/Eufy)
Câmera Doorbell Dual (imagem: divulgação/Eufy)

O bizarro caso Eufy

O caso da Eufy ganhou repercussão depois que o consultor de segurança Paul Moore divulgou um vídeo mostrando uma câmera Doorbell Dual transmitindo dados às nuvens sem criptografia. Com isso, a transmissão pode ser interceptada por terceiros com relativa facilidade.

Ainda de acordo com Moore, imagens carregadas nas nuvens podem ser acessadas mesmo depois de removidas por meio do aplicativo Eufy Security. Elas não ficam gravadas em vídeos, mas em sequências de miniaturas, o que ainda é um problema sério.

Em resposta a Moore, a Eufy confirmou o upload de miniaturas de imagens a uma conta na AWS, mas disse que não há risco de vazamento porque o endereço que dá acesso a elas requer autenticação e fica disponível por pouco tempo.

Há um agravante aqui. A Anker promove as câmeras Eufy com a promessa de que as imagens oriundas delas são transmitidas com criptografia ponta a ponta diretamente ao celular do usuário. Mas Moore conseguiu acessar a transmissão simplesmente conectando o VLC a um servidor da Eufy.

Piora. Pode-se descobrir o endereço de uma câmera Eufy por esta ser baseada no número de série do equipamento codificado em Base64. Esse método pode ser revertido com pouco esforço. Felizmente, os números são formados por 16 caracteres que não seguem uma ordem crescente, o que dá a eles alguma proteção.

Procurada pelo The Verge, a Anker negou que as imagens de suas câmeras possam ser reproduzidas em dispositivos de terceiros. Mas, também usando o VLC, o próprio veículo conseguiu interceptar imagens de suas câmeras Eufy em um teste.

Até o momento, a empresa não deu explicações adicionais sobre o caso.

A falha sem correção na câmera Wyze Cam v1

E se a câmera tiver uma vulnerabilidade que não pode ser corrigida? É o caso da Wyze Cam v1, câmera inteligente residencial que ganhou muitos adeptos por ter preço baixo. Nos Estados Unidos, o modelo foi lançado por cerca de US$ 30, em 2017.

Eis que, em 2019, a Bitdefender notificou a Wyze sobre três falhas de segurança em suas câmeras. A companhia começou a trabalhar em correções imediatamente, apesar de só ter reconhecido o relatório da Bitdefender no final de 2020.

As duas empresas passaram a trabalhar em conjunto na correção dos problemas. Porém, somente neste ano é que a Wyze alertou que a Cam v1 não pode ter seu firmware atualizado por causa da sua quantidade limitada de memória.

A falha não corrigida permite que os dados armazenados no cartão SD da câmera sejam acessados por terceiros. Diante da gravidade do problema, a empresa passou a enviar emails aos seus clientes para alertar que a Wyze Cam v1 não pode ser atualizada.

Wyze Cam v1 (imagem: divulgação/Wyze)
Wyze Cam v1 (imagem: divulgação/Wyze)

A solução? Deixar de usá-la. O suporte à câmera foi encerrado em fevereiro. Talvez seja o caso até de deixar de usar a marca. O Verge aponta que a Wyze soube por três anos da vulnerabilidade na câmera, mas não tratou do problema em tempo hábil.

O caso só não é mais grave porque, para ter acesso ao cartão de memória, o invasor precisa entrar na rede na qual a câmera está instalada.

Sempre pode ficar pior

Esses casos não são isolados. Há vários relatos de falhas na proteção da privacidade do usuário envolvendo câmeras. E nem sempre o problema consiste em vulnerabilidades no software das câmeras ou no sistema de vigilância.

A CNET chama a atenção para o caso da empresa ADT. Em 2020, centenas de clientes da empresa no Texas foram alvos de espionagem. O técnico que instalou as câmeras para essas pessoas registrou o próprio email nas contas de cada uma delas para ter acesso às imagens dos dispositivos.

Chega a ser irônico. Imagine instalar câmeras de segurança para proteger a sua casa e elas serem usadas para que um invasor saiba quando ela está vazia. Bom, o técnico foi demitido e, posteriormente, detido pelas autoridades.

Outro exemplo emblemático é o de uma câmera Amazon Ring que foi invadida por um hacker, em 2019. O invasor aproveitou a brecha para aterrorizar uma menina de oito anos.

Na ocasião, a Amazon declarou que o problema pode ter sido causado pelo uso de uma senha fraca. Porém, na mesma época, a Motherboard descobriu que hackers haviam criado um software específico para invasão de câmeras Ring.

Como se não bastasse, a Amazon se envolveu em uma questão ética. Também em 2019, a companhia foi criticada por ter permitido que mais de 400 departamentos de polícia dos Estados Unidos acessassem câmeras Ring de clientes. A pressão fez a companhia desistir de compartilhar as imagens com as autoridades.

Câmera Ring Doorbell Pro 2 (imagem: divulgação/Amazon)
Câmera Ring Doorbell Pro 2 (imagem: divulgação/Amazon)

Medidas paliativas

Deixar de usar câmeras conectadas à internet é a solução mais óbvia, mas não a ideal. Quem acessa remotamente as suas câmeras o faz por algum motivo.

A saída pode ser adotar alguns cuidados complementares, como não posicionar as câmeras em lugares sensíveis da sua casa, se possível — como o corredor, em vez do quarto.

Usar modelos de câmeras recentes é outra ideia, pois isso aumenta as chances de o dispositivo receber atualizações de firmware. Também vale a pena busca ajuda profissional para configurá-las, caso você tenha pouco conhecimento técnico.

Não são medidas que resolvem o problema. Elas apenas diminuem o estrago se algo sair do controle. De todo modo, é válido seguir um comportamento cuidadoso. Pelo menos até que a indústria se mobilize para evitar que câmeras de seguranças se transformem no oposto do que prometem ser.

Relacionados

Relacionados