Anker: Eufy-Kameras laden Inhalte ohne Nutzereinwilligung in die Cloud (Update)

Update am 2. Dezember – das Statement von Eufy: eufy Security weist die gegen das Unternehmen erhobenen Vorwürfe bezüglich der Sicherheit unserer Produkte entschieden zurück. Wir verstehen jedoch, dass die jüngsten Ereignisse bei einigen NutzerInnen Besorgnis ausgelöst haben könnten. Wir überprüfen und testen unsere Sicherheitsfunktionen regelmäßig und bitten die Sicherheitsbranche um Feedback, um sicherzustellen, dass wir alle glaubwürdigen Sicherheitslücken schließen. Wenn eine glaubwürdige Sicherheitslücke festgestellt wird, ergreifen wir die notwendigen Maßnahmen, um sie zu beheben. Darüber hinaus halten wir uns an alle zuständigen Aufsichtsbehörden in den Märkten, in denen unsere Produkte verkauft werden. Bei Fragen können sich NutzerInnen jederzeit an unser engagiertes Kundensupport-Team wenden.

Original-Artikel: Die Eufy-Produktfamilie von Anker hält eine Reihe von Sicherheitskameras für den privaten Gebrauch bereit. Nun ist bekanntgeworden, dass die Kameras auch ohne Einwilligung des Nutzers bzw. der Nutzerin Daten in die Cloud hochgeladen haben – und das sogar, wenn die Cloud-Speicherung deaktiviert war und nur eine lokale Speicherung ausgewählt wurde. So berichtet MacRumors und bezieht sich auf den Sicherheitsberater Paul Moore, der in der letzten Woche ein Video veröffentlichte, in dem er den Vorfall genauer schilderte.

Moore hatte laut eigenen Angaben eine Eufy Dual-Türklingel erworben, die ihre aufgenommenen Videos eigentlich lokal auf dem Gerät speichern sollte. Er fand heraus, dass Eufy Vorschaubilder von Gesichtern und Nutzerinformationen in den eigenen Cloud-Service hochlud, auch wenn die Cloud-Funktion nicht aktiviert wurde.

„Moore demonstriert das unautorisierte Hochladen in die Cloud, indem er seine Kamera sein Bild aufnehmen lässt und die Eufy HomeBase ausschaltet. Die Website kann immer noch über die Cloud-Integration auf die Inhalte zugreifen, obwohl er sich nicht für den Cloud-Service angemeldet hatte, und sie bleiben auch dann zugänglich, wenn das Filmmaterial aus der Eufy-App entfernt wird. Es ist wichtig zu wissen, dass Eufy anscheinend nicht automatisch das komplette Streaming-Video in die Cloud hochlädt, sondern vielmehr Aufnahmen des Videos als Miniaturansichten macht.“

Die Vorschaubilder werden in der Eufy-App verwendet, damit Eufy-User ihre Videos auch von unterwegs ansehen können. Das Problem dabei: Die Thumbnails werden automatisch in die Cloud hochgeladen, auch wenn die Cloud-Funktionalität nicht aktiv ist. Zudem scheint Eufy bei den Uploads auch eine Gesichtserkennung zu verwenden. Diese Tatsache führte dazu, dass sich einige User der Eufy-Produkte beim Hersteller beschwerten, da dieser explizit mit Privatsphäre und dem Slogan „Keine Clouds oder Kosten“ wirbt. Auch bei Reddit gibt es mittlerweile einen eigenen Thread zum Thema, in dem sich Betroffene austauschen.

Paul Moore erhielt eine Antwort von Ankers Tochterfirma Eufy, in der man ihm bestätigte, dass man Ereignislisten und Miniaturansichten auf den AWS-Server lade, aber diese Daten „nicht an die Öffentlichkeit gelangen“ können, da die URL eingeschränkt und zeitlich begrenzt sei, und zudem eine Kontoanmeldung erfordere. 

Zugriff auf Eufy-Kamerainhalte ohne Authentifizierung

Moore fand zudem heraus, dass Eufy-Kamerastreams mit einer App wie dem Videoplayer VLC live angesehen werden können. Aktuell seien aber nur wenige Informationen über diesen Exploit verfügbar. Der Sicherheitsberater gab bei Twitter an, man könne auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugreifen. Mittlerweile stehe Moore im Kontakt mit Eufys Rechtsabteilung und werde ihnen Zeit geben, „die Angelegenheit zu untersuchen und entsprechende Maßnahmen zu ergreifen“, ehe er weitere Kommentare abgebe. Auch das Team von MacRumors hat mittlerweile eine Stellungnahme von Eufy erhalten, die wir euch nachfolgend übersetzt einbinden. Dort erklärt der Hersteller, warum die Bilder gesammelt werden und wie man das Problem in Zukunft angehen werde.

„eufy Security ist als lokales Haussicherheitssystem konzipiert. Das gesamte Videomaterial wird lokal und verschlüsselt auf dem Gerät des Nutzers gespeichert. Was die Gesichtserkennungstechnologie von eufy Security betrifft, so wird diese lokal auf dem Gerät des Nutzers verarbeitet und gespeichert.

Unsere Produkte, Dienstleistungen und Prozesse entsprechen in vollem Umfang den Standards der General Data Protection Regulation (GDPR), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645.

Um den Nutzern Push-Benachrichtigungen für ihre Mobilgeräte bereitzustellen, erstellen einige unserer Sicherheitslösungen kleine Vorschaubilder (Thumbnails) von Videos, die kurz und sicher auf einem AWS-basierten Cloud-Server gehostet werden. Diese Thumbnails nutzen eine serverseitige Verschlüsselung und sind so eingestellt, dass sie automatisch gelöscht werden. Sie entsprechen den Standards des Apple Push Notification Service und des Firebase Cloud Messaging. Nutzer können auf diese Thumbnails nur zugreifen oder sie teilen, nachdem sie sich sicher bei ihrem eufy Security-Konto angemeldet haben.

Obwohl unsere eufy Security App den Nutzern die Möglichkeit bietet, zwischen textbasierten und thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde nicht deutlich gemacht, dass bei der Auswahl thumbnail-basierter Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden müssen.

Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für unseren Fehler. Wir planen, unsere Kommunikation in dieser Angelegenheit zu verbessern:

1) Wir überarbeiten die Sprache der Push-Benachrichtigungsoptionen in der eufy Security App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten Vorschaubilder erfordern, die vorübergehend in der Cloud gespeichert werden.

2) Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.

eufy Security setzt sich für den Schutz der Privatsphäre und der Daten seiner Nutzer ein und dankt der Sicherheitsforschungs-Community, die uns auf diesen Umstand aufmerksam gemacht hat.“

Abschließend könnt ihr euch noch das YouTube-Video vom Sicherheitsberater Paul Moore ansehen, in dem er auf das Sicherheitsproblem der Eufy-Kameras eingeht.