Eufy Kameras: Anker gibt unverschlüsselte Livestreams im Web-Portal zu

| 11:33 Uhr | 0 Kommentare

Im November vergangenen Jahres wurde Sicherheitsprobleme rund um die Anker Eufy Kameras bekannt. Miniaturansichten von Videoaufnahmen wurden unverschlüsselt in der Cloud gespeichert, obwohl dies durch Anker anders kommuniziert wurde. Darüberhinaus konnten Video-Streams der Kameras unverschlüsselt und ohne Authentifizierung über Streaming-Player wie VLC wiedergegeben werden, wenn die URL des Streams bekannt war. Die Kommunikation seitens Anker war nicht zufriedenstellend und so sind die Kollegen von The Verge der Angelegenheit weiter auf den Grund gegangen.

Anker gibt unverschlüsselte Aufnahmen bei Eufy Kamers zu

Nachdem im vergangenen Jahr Sicherheitsforscher auf die Probleme gestoßen waren, versuchte Anker zunächst die aufgedeckten Probleme kommunikativ zu umschiffen. Anstatt die Probleme unmittelbar anzugehen, wurde die Eufy Security App zunächst mit Sicherheitshinweisen versehen, dass beim Modus „Mit Miniaturansicht“ Miniaturansichten für die Filmvorschau vorübergehend in der Cloud für ein besseres Erlebnis gespeichert werden. Auf die Tatsache, dass Livestreams über Video-Player unverschlüsselt angesehen werden können, sofern die URAL bekannt war, ging das Unternehmen nicht ein.

The Verge hat „weitergebohrt“ und hat mittlerweile von Anker ein entsprechendes Statement erhalten. Unter anderem heißt es

Früher konnte ein registrierter Benutzer, nachdem er sich bei unserem sicheren Webportal unter eufy.com angemeldet hatte, in den Debug-Modus wechseln, das DevTool des Webbrowsers verwenden, um den Live-Stream zu finden, und dann diesen Link abspielen oder mit jemand anderem teilen, um diesen außerhalb unseres sicheren Systems abzuspielen . Es wäre jedoch die Entscheidung des Benutzers gewesen, diesen Link zu teilen, und er hätte sich zuerst beim eufy-Webportal anmelden müssen, um diesen Link zu erhalten.

Heute verbietet das eufy Security-Webportal Benutzern auf der Grundlage von Rückmeldungen aus der Branche und aus Vorsicht den Zugriff auf den Debug-Modus, und der Code wurde gehärtet und verschleiert. Außerdem werden die Inhalte des Videostreams verschlüsselt, was bedeutet, dass diese Videostreams nicht mehr auf Mediaplayern von Drittanbietern wie VLC abgespielt werden können.

Video-Stream-Anfragen, die vom Eufy-Webportal stammen, werden in Zukunft Ende-zu-Ende verschlüsselt, wie sie es bei der Eufy-App tun, die laut Anker der primäre Weg ist, über den Eufy-Benutzer auf Kamera-Streams zugreifen. Anker bestätigt zudem, dass jede Eufy-Kamera aktualisiert wird, um WebRTC zu verwenden, das standardmäßig verschlüsselt ist.

Darüberhinaus bedauert Anker die mangelnden Kommunikation und gelobt Besserung für die Zukunft. Das Unternehmen zieht Sicherheitsunternehmen von Drittanbietern hinzu, um die Eufy-Sicherheitsprodukte zu prüfen, und es arbeitet an einem offiziellen Bug-Bounty-Programm. Anker wird außerdem im Februar eine Sicherheits-Microsite einrichten und den Kunden weitere Informationen zu den vorgenommenen Änderungen zur Verfügung stellen.

Kategorie: Apple

Tags: ,

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert