HeyCyan AI Glasses: Auditoria Completa de Privacidade

Introdução: Porque Auditar Óculos de IA?

Os óculos inteligentes com câmara e conectividade permanente levantam questões fundamentais de privacidade. Ao contrário de smartphones que guardamos no bolso, estes dispositivos estão sempre ativos, sempre a "ver", sempre conectados. Quem tem acesso a essas imagens? Para onde vão os dados capturados?

Os HeyCyan AI Glasses prometem tradução em tempo real, captura de fotos e vídeo, e assistente de voz — tudo alimentado por IA. O fabricante afirma respeitar a privacidade, mas será que os dados confirmam essa promessa? Decidimos descobrir.

Metodologia: Auditoria de 3 Passos

Utilizamos a nossa abordagem forense padrão para dispositivos IoT, que consiste em três fases distintas:

Passo 1 — DNS Sniff (10 minutos): Capturamos todas as consultas DNS dos óculos para identificar todos os domínios contactados. Isto revela com quem o dispositivo "fala" mesmo antes de analisarmos o conteúdo.

Passo 2 — Traffic Watch (8 horas): Monitorizamos continuamente o tráfego de rede durante uso normal e em modo inativo. Esta é a fase mais reveladora: um dispositivo em repouso não deveria transmitir dados significativos.

Passo 3 — Deep Inspect (opcional): Tentamos desencriptar o tráfego HTTPS com certificados personalizados. A maioria dos dispositivos IoT rejeita esta abordagem, mas fornece informações valiosas quando bem-sucedida.

Resultados do Passo 1: Análise DNS

Durante os primeiros 10 minutos de monitorização DNS, os HeyCyan contactaram 12 domínios distintos. A análise revelou:

Domínios Benignos (9): A maioria das conexões foram para servidores do fabricante (heycyan.com, api.heycyan.com), serviços Amazon AWS para cloud storage, e Cloudflare CDN. Isto é comportamento esperado para firmware updates e sincronização de configurações.

Domínios Desconhecidos (2): Detetamos consultas para dois domínios que não constam nas nossas listas de serviços conhecidos: translate-api.cn e analytics-bridge.net. O primeiro parece estar relacionado com o serviço de tradução, mas a localização chinesa (.cn) levanta questões sobre jurisdição de dados.

Domínios Suspeitos (1): Um domínio de telemetria (track.mixpanel.com) foi contactado durante a configuração inicial. Este é um serviço de analytics comportamental que regista interações do utilizador. Não estava divulgado na política de privacidade.

Resultados do Passo 2: Monitorização de Tráfego

A fase de monitorização prolongada (8 horas, incluindo 6 horas em modo inativo) revelou padrões interessantes:

Volume Total: 47 MB de dados transferidos durante o período de teste. Destes, 38 MB foram downloads (firmware update detectado durante a noite) e 9 MB foram uploads.

Comportamento em Repouso: Durante as 6 horas em que os óculos estiveram inativos (sem uso, apenas ligados), registamos apenas 340 KB de tráfego upstream — equivalente a heartbeat pings periódicos. Este é um resultado excelente e sugere que o dispositivo não está a exfiltrar dados continuamente.

Picos de Atividade: Os uploads concentraram-se em três momentos: configuração inicial (2.3 MB), captura de 5 fotos de teste (6 MB), e sincronização de logs ao fim do dia (0.7 MB). Os tamanhos correspondem aos ficheiros esperados, sem transferências anómalas.

Inspeção Física e Observações

Para além da auditoria de rede, realizamos inspeção física dos óculos e da aplicação companion:

Indicadores Visuais: Os óculos têm LED vermelho visível que se acende durante gravação de vídeo. Durante captura de fotos, um LED branco pisca brevemente. Isto é importante para transparência — terceiros podem ver quando está a gravar.

Aplicação iOS: A app HeyCyan solicitou permissões para Câmara (necessária para emparelhamento via QR code), Localização (opcional, para geotag de fotos), e Bluetooth (obrigatória). Não pediu acesso a Contactos, Microfone do telefone, ou Galeria completa — bom sinal.

Política de Privacidade: A política está disponível em inglês e chinês, mas não em português. Declara que fotos e vídeos são armazenados localmente por padrão, com upload para cloud opcional mediante consentimento explícito. No entanto, não menciona o uso de Mixpanel para analytics.

Veredicto: Aprovado com Reservas

Os HeyCyan AI Glasses demonstram um comportamento de rede maioritariamente respeitador da privacidade. O tráfego em modo inativo é mínimo, não detetamos exfiltração contínua de dados, e os uploads correspondem a ações explícitas do utilizador.

Pontos Positivos: Tráfego inativo baixíssimo (340 KB em 6h), indicadores LED visíveis, armazenamento local por padrão, permissões de app razoáveis.

Preocupações: Uso não divulgado de Mixpanel analytics, domínio de tradução hospedado na China (jurisdição com leis de dados diferentes da UE), política de privacidade incompleta (sem versão PT, omissão de serviços de telemetria).

Classificação de Risco: 22/100 — Risco Baixo. Recomendamos o dispositivo com a ressalva de que utilizadores sensíveis devem desativar a funcionalidade de tradução em tempo real se quiserem evitar servidores chineses.

Recomendações para Utilizadores

Se adquiriu ou está a considerar comprar os HeyCyan AI Glasses, recomendamos:

1. Desative o upload automático para cloud: Na app, mantenha "Local Storage Only" ativado.
2. Reveja as permissões de localização: Se não precisa de geotag, negue acesso à localização do telefone.
3. Considere desativar analytics: Contacte o suporte HeyCyan para solicitar opt-out de Mixpanel (não há toggle na app).
4. Use tradução com conhecimento de causa: A funcionalidade de tradução envia áudio para servidores externos. Se discutir informação sensível, desative temporariamente.
5. Atualize o firmware regularmente: O fabricante tem bom histórico de security patches.