Contexto: Óculos Económicos, Promessas Grandes
Os AI Glasses 8MP são comercializados como uma alternativa acessível aos óculos inteligentes premium. Por cerca de metade do preço dos HeyCyan, prometem câmara de 8 megapixels, gravação de vídeo 1080p, e "IA avançada" para reconhecimento de objetos.
A aplicação companion (AuraFit) está disponível para iOS e Android. Segundo a descrição da loja, os óculos funcionam completamente offline, processando tudo localmente. Mas será verdade?
Passo 1: Descoberta DNS — Primeiros Sinais de Alerta
Logo nos primeiros 10 minutos de captura DNS, detetamos 23 domínios contactados — quase o dobro dos HeyCyan. A lista incluía vários domínios preocupantes:
Serviços Chineses (8 domínios): Os óculos comunicaram com múltiplos servidores chineses, incluindo api.tuya.com (plataforma IoT chinesa), log.umeng.com (analytics da Alibaba), bugly.qq.com (crash reporting da Tencent), e vários subdomínios .aliyuncs.com (Alibaba Cloud).
Analytics e Tracking (5 domínios): Para além dos serviços chineses, detetamos Mixpanel, Amplitude, e Firebase Analytics. Três sistemas de telemetria em paralelo é excessivo e sugere monetização de dados comportamentais.
Domínios do Fabricante (6): Conexões esperadas para o domínio principal e API do fabricante.
Desconhecidos (4): Quatro domínios sem identificação clara, hospedados em datacenters chineses e russos.
Passo 2: Tráfego Noturno — A Smoking Gun
A fase de monitorização prolongada foi onde os AI Glasses 8MP falharam decisivamente. Durante um período de 8 horas overnight, com os óculos completamente inativos (sem uso, sem movimento, apenas ligados e carregando), registamos:
18.7 MB de tráfego upstream. Isto é 55 vezes mais que os HeyCyan no mesmo cenário. Para um dispositivo "offline" em modo inativo, este volume é inaceitável.
A análise de timing revelou uploads constantes a cada 4-6 minutos durante toda a noite. O padrão era mecânico, sugerindo telemetria automatizada em vez de sincronização iniciada pelo utilizador.
Destinos principais: 67% do tráfego foi para Alibaba Cloud (aliyuncs.com), 22% para servidores Tuya (plataforma IoT), e 11% distribuído entre analytics services. Não conseguimos determinar o conteúdo exato (encriptado), mas o volume e frequência sugerem logs detalhados, possivelmente incluindo thumbnails de imagens.
Teste de Uso Ativo: Mais Preocupações
Durante 2 horas de uso normal (tirar fotos, gravar vídeos curtos, testar reconhecimento de objetos), o comportamento piorou:
Cada foto tirada gerava dois uploads: um imediato (presumivelmente thumbnail ou metadata) de ~200 KB, e outro 30-40 segundos depois (~1.2 MB, possivelmente a imagem completa). Não há opção na app para desativar isto.
O reconhecimento de objetos (identificar o que a câmara está a ver) enviava dados continuamente enquanto ativo — 4-6 KB/s de upstream constante. Isto sugere que o processamento não é local, contrariando as afirmações de marketing.
Aplicação Companion: Permissões Invasivas
A app AuraFit (usada por vários produtos da marca, incluindo smartwatch e earbuds) solicitou permissões problemáticas:
Contactos: A app pediu acesso completo aos contactos do telefone. Não há justificação funcional — os óculos não fazem chamadas nem enviam mensagens.
Galeria de Fotos (completa): Pediu acesso de leitura a TODAS as fotos do telefone, não apenas às tiradas pelos óculos. Potencial vector de exfiltração.
Localização (sempre): Não solicitou permissão "quando em uso", mas sim "sempre" — permitindo tracking contínuo mesmo com app fechada.
Política de Privacidade: Vagueça Conveniente
A política de privacidade dos AI Glasses 8MP está disponível apenas em inglês e chinês. É deliberadamente vaga sobre práticas de dados:
Afirma que "dados anónimos de uso" podem ser recolhidos para "melhorar o serviço", sem especificar que dados ou com que frequência. A secção sobre "processamento local" tem um asterisco que remete para: "algumas funcionalidades requerem conectividade cloud".
Não há menção a Tuya, Alibaba Cloud, Umeng, ou qualquer dos serviços terceiros que detetamos na auditoria. Legalmente duvidoso no contexto GDPR.
Comparação com HeyCyan
Para contextualizar, comparamos diretamente com os HeyCyan AI Glasses auditados anteriormente:
| Métrica | HeyCyan | AI Glasses 8MP |
|---|---|---|
| Tráfego Inativo (6h) | 340 KB | 18.7 MB |
| Domínios Contactados | 12 | 23 |
| Servidores Chineses | 1 (tradução) | 8 (múltiplos) |
| Serviços Analytics | 1 (Mixpanel) | 3 (Mixpanel + Amplitude + Firebase) |
| Permissões Invasivas | Não | Sim (Contactos + Galeria) |
Veredicto: Não Recomendado
Os AI Glasses 8MP apresentam múltiplas violações dos nossos critérios de privacidade. O tráfego upstream em modo inativo é inexcusável, a dependência em infraestrutura chinesa é excessiva, e as permissões da app são invasivas sem justificação.
Classificação de Risco: 74/100 — Risco Alto. Não recomendamos a compra deste dispositivo a utilizadores que valorizem privacidade.
Problemas Críticos: Exfiltração contínua de dados em modo inativo, afirmação falsa de "processamento local", múltiplos serviços de tracking não divulgados, permissões invasivas (Contactos, Galeria completa), dependência em infraestrutura fora da jurisdição EU.
Se já adquiriu este dispositivo, recomendamos devolvê-lo ou, no mínimo, desativá-lo completamente quando não estiver em uso ativo (não basta colocá-lo em standby). Negue TODAS as permissões opcionais na app.