Ankers Eufy-Kameras laden Bilder ohne Zustimmung des Benutzers in die Cloud hoch [inkl. Stellungnahme]

Anker bietet unter der Marke Eufy ein umfangreiches Angebot an Überwachungskameras an. Während die Geräte durchaus beliebt und somit weit verbreitet sind, gibt es nun Kritik von einem Sicherheitsforscher. So hat Paul Moore festgestellt, dass die „Eufy Doorbell Dual“ Miniaturansichten der Videoaufnahmen in den zugehörigen Cloud-Service hochlädt, obwohl die Funktion deaktiviert wurde.

Fotocredit: Eufy / Anker

Eufy-Kameras in der Kritik

Die „Eufy Doorbell Dual“ ist ein Gerät, das laut dem Hersteller Videoaufnahmen und Bilder lokal auf dem Gerät speichert. Ist der Cloud-Service deaktiviert, soll die Kamera-Türklingel somit komplett lokal arbeiten – so die Theorie. Wie der Sicherheitsforscher Paul Moore nun jedoch feststellen musste, lädt Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hoch, obwohl der Cloud-Speicher deaktiviert ist.

Moore demonstriert das unbefugte Hochladen in die Cloud, indem er mit der Kamera eine Aufnahme erstellt und die „Eufy HomeBase“ ausschaltet. Die Webseite kann über die Cloud-Integration immer noch auf die Inhalte zugreifen, obwohl er sich nicht für den Cloud-Dienst angemeldet hatte. Der Zugriff bleibt auch dann möglich, wenn die Aufnahmen aus der Eufy-App entfernt werden. Es ist wichtig zu wissen, dass Eufy nicht automatisch das komplette Streaming-Video in die Cloud hochlädt, sondern vielmehr Bilder des Videos als Miniaturansichten erstellt.

Diese Thumbnails werden in der Eufy-App verwendet, um das Videostreaming von der Eufy-Basisstation zu aktivieren, so dass Eufy-Nutzer ihre Videos auch von unterwegs ansehen können. Das Problem ist, dass die Thumbnails automatisch in die Cloud hochgeladen werden, auch wenn die Cloud-Funktionalität nicht aktiv ist. Zudem verwendet Eufy bei den Uploads anscheinend auch die Gesichtserkennung.

Moore testete nur die Eufy-Türklingelkamera, doch andere Nutzer bestätigen, dass auch weitere Eufy-Kameras auf diese Weise funktionieren. Wie der Sicherheitsforscher demonstriert, kann auf die Bilder über die zugehörigen URLs zugegriffen werden, nachdem man sich angemeldet hat.

Im Verlaufe eines Twitter-Threads wird auch behauptet, dass Video-Streams der Kameras unverschlüsselt und ohne Authentifikation über einen Streaming-Player wie VLC Live angesehen werden können. Vermutlich geht das jedoch nur im eigenen Netzwerk. Über den Exploit sind derzeit nur wenige Informationen verfügbar.

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don’t ask for a PoC – I can’t release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

Moore erhielt eine Antwort von Eufy, in der bestätigt wird, dass Ereignislisten und Miniaturansichten auf AWS (Amazon Web Services) hochgeladen werden. Eufy wies jedoch darauf hin, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.

Einige Nutzer haben sich über die nicht autorisierten Cloud-Uploads beschwert, da Eufy mit einem rein lokalen Service wirbt und bei denjenigen beliebt ist, die eine privatere Kameralösung wünschen.

Stellungnahme von Eufy

Das Unternehmen hat auch eine Stellungnahme zum Thema veröffentlicht. Hier heißt es:

„eufy Security ist als lokales Heim-Security-System konzipiert. Sämtliches Videomaterial wird dafür lokal und verschlüsselt auf dem Gerät von NutzerInnen gespeichert. Die Gesichtserkennungstechnologie von eufy Security wird ebenfalls lokal auf dem Gerät verarbeitet und gespeichert. Unsere Produkte, Dienstleistungen und Prozesse entsprechen in vollem Umfang den geltenden Standards der Datenschutz-Grundverordnung (DSGVO), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645.

Um NutzerInnen die Push-Benachrichtigungen für ihre Mobilgeräte bereitzustellen, können einige unserer Sicherheitslösungen kleine Vorschaubilder (sogenannte Thumbnails) von Videos anzeigen, die kurz und sicher auf einem Amazon-Web-Services (AWS) basierten Cloud-Server gehostet werden. Diese Thumbnails nutzen eine serverseitige Verschlüsselung und sind so eingestellt, dass sie automatisch gelöscht werden. Sie entsprechen allen Standards der Apple Push-Benachrichtigungsdienste (iOS-App) und des Firebase Cloud Messagings (Android-App). Erst wenn NutzerInnen sich sicher bei ihrem eufy Security-Konto angemeldet haben, können sie auf diese Thumbnails zugreifen oder sie teilen.

Obwohl unsere eufy Security-App den NutzerInnen vom Start an die Möglichkeit bietet, zwischen Text- und Thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde von uns nicht deutlich genug gemacht, dass bei der Auswahl der Thumbnail-Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden.

Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für diesen Fehler.

Wir werden unsere Kommunikation verbessern, unter anderem mit folgenden Maßnahmen:

1. Wir überarbeiten die Formulierungen der Push-Benachrichtigungs-Optionen in der eufy Security-App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten kleine Vorschaubilder benötigen, die vorübergehend in der Cloud gespeichert werden.

2. Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.

eufy Security setzt sich vollständig für den Schutz der Privatsphäre und der Daten seiner NutzerInnen ein und dankt der Sicherheits-Community, die uns auf dieses Problem aufmerksam gemacht hat.“