Eufy-Security-Kameras: Daten landeten unberechtigt in der Cloud
The Verge). Eufy hatte trotz der Auswahl "lokale Datenspeicherung" Daten teils auch in die Cloud gesendet und dazu noch versäumt, die Daten zu verschlüsseln.
Das Resultat war, dass jeder, der eine URL zu einem Video einer Eufy-Kamera hatte, auch auf die Datei zugreifen konnte. Diese Information stammt vom Sicherheitsberater Paul Moore, der ein Video veröffentlicht hat, in dem er das Problem beschreibt.
Nach Angaben von Moore hat er eine Eufy Doorbell Dual gekauft, die eigentlich Aufnahmen direkt auf das Gerät speichern sollte. Jedoch stellte er fest, dass Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hochgeladen hatte. Eufy lädt dabei nicht automatisch das komplette Streaming-Video in die Cloud hoch, sondern vielmehr Miniaturansichten.
Moore führte weiter aus, dass auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugegriffen werden kann, was für Eufy-Nutzer alarmierend ist.
Eufy bestätigte bereits, dass Ereignislisten und Miniaturansichten auf Amazon AWS hochgeladen werden, sagte aber, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL beschränkt und zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.
Das Unternehmen hat mittlerweile ausführlich zu den Vorwürfen Stellung genommen und Änderungen gestartet. So werden API-Aufrufe verschlüsselt, um unberechtigte Zugriffe zu unterbinden.
Siehe auch:
Eufy wurde beim Hochladen von Inhalten in die Cloud ohne Zustimmung des Nutzers erwischt (via Das Resultat war, dass jeder, der eine URL zu einem Video einer Eufy-Kamera hatte, auch auf die Datei zugreifen konnte. Diese Information stammt vom Sicherheitsberater Paul Moore, der ein Video veröffentlicht hat, in dem er das Problem beschreibt.
Nach Angaben von Moore hat er eine Eufy Doorbell Dual gekauft, die eigentlich Aufnahmen direkt auf das Gerät speichern sollte. Jedoch stellte er fest, dass Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hochgeladen hatte. Eufy lädt dabei nicht automatisch das komplette Streaming-Video in die Cloud hoch, sondern vielmehr Miniaturansichten.
Werbeversprechen und Wirklichkeit
Diese Thumbnails werden in der Eufy-App verwendet, um das Videostreaming von der Eufy-Basisstation zu aktivieren, sodass Eufy-Nutzer ihre Videos auch von unterwegs ansehen können. Da Eufy mit einem rein lokalen Service wirbt, ist dieses Verhalten ein absolutes No-Go. Moore vermutet, dass Eufy auch in der Lage ist, Gesichtserkennungsdaten, die von zwei separaten Kameras und zwei separaten Apps gesammelt wurden, mit den Nutzern zu verknüpfen, ohne dass die Kamerabesitzer davon wissen.Moore führte weiter aus, dass auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugegriffen werden kann, was für Eufy-Nutzer alarmierend ist.
Eufy bestätigte bereits, dass Ereignislisten und Miniaturansichten auf Amazon AWS hochgeladen werden, sagte aber, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL beschränkt und zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.
Das Unternehmen hat mittlerweile ausführlich zu den Vorwürfen Stellung genommen und Änderungen gestartet. So werden API-Aufrufe verschlüsselt, um unberechtigte Zugriffe zu unterbinden.
Auszug aus der Stellungnahme:
Obwohl unsere eufy Security App den Nutzern ermöglicht, zwischen textbasierten und thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde nicht deutlich gemacht, dass bei der Auswahl thumbnail-basierter Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden müssen. Diese fehlende Kommunikation war ein Versehen unsererseits und wir bitten aufrichtig für unseren Fehler um Verzeihung. Zukünftig wird unsere Kommunikation in dieser Angelegenheit verbessert:- Wir überarbeiten die Sprache der Push-Benachrichtigungsoptionen in der eufy Security App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten Vorschaubilder erfordern, die vorübergehend in der Cloud gespeichert werden.
- Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.
- eufy Security setzt sich für den Schutz der Privatsphäre und der Daten seiner Nutzer ein und dankt der Sicherheitsforschungs-Community, die uns auf diesen Umstand aufmerksam gemacht hat."
Siehe auch:
Thema:
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Bilder zum Thema Cloud
Beiträge aus dem Forum
-
Onedrive
cien -
OneDrive Dokumentenordner Konfusion - Hilfe!
blommberg -
CloudFest Hackathon 2023 mit innovativen WordPress-Projekte:....
el_pelajo -
KeePass mit Google Drive
PC.Nutzer -
rklone, insinc, GNOME, KDE etc: .zur nativen Verwendung Google Drive
el_pelajo -
Gruppieren von Textfeld und PNG Icon (Word Office 365)
Hideko1994 -
Office 365 und Windows Benutzerkontensteuerung
Bassman -
oneDrive nach PC Rücksetzen unvollständig
Hideko1994 -
GitHub Codespaces - die cloudbasierte Entwicklungsumgebung mit vielen
el_pelajo -
Office 365 - Sync AD (2012R2)
der dom
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Entgegen dem Trend: Hyundai will massiv in Elektroautos investieren
- Tesla will allen Autokäufern eine Full Self-Driving-Demo aufzwingen
- Circle to Search: Einkreis-Suche auf vielen neuen Geräte, neue Features
- Visa und Mastercard: Streit um Kartengebühren nach 19 Jahren beendet
- Balkonkraftwerke: In Zukunft deutlich weniger bürokratische Hürden
- Ende einer Ära: Letzte Luftpost-Flüge innerhalb Deutschlands beendet
- Social Media-Nutzer überziehen Boeing mit Spott - dort lacht man nicht
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen