Eufy-Security-Kameras: Daten landeten unberechtigt in der Cloud

An der Sicherheit der Daten bei Verwendung von Eufy-Kameras kamen in dieser Woche Bedenken auf. Ein Sicherheitsexperte hatte gezeigt, dass sich Aufnahmen über die Cloud einsehen lassen, auch wenn Nutzer die lokale Datenspeicherung aktiviert hatten. Eufy wurde beim Hochladen von Inhalten in die Cloud ohne Zustimmung des Nutzers erwischt (via The Verge). Eufy hatte trotz der Auswahl "lokale Datenspeicherung" Daten teils auch in die Cloud gesendet und dazu noch versäumt, die Daten zu verschlüsseln.

Das Resultat war, dass jeder, der eine URL zu einem Video einer Eufy-Kamera hatte, auch auf die Datei zugreifen konnte. Diese Information stammt vom Sicherheitsberater Paul Moore, der ein Video veröffentlicht hat, in dem er das Problem beschreibt.


Nach Angaben von Moore hat er eine Eufy Doorbell Dual gekauft, die eigentlich Aufnahmen direkt auf das Gerät speichern sollte. Jedoch stellte er fest, dass Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hochgeladen hatte. Eufy lädt dabei nicht automatisch das komplette Streaming-Video in die Cloud hoch, sondern vielmehr Miniaturansichten.

Werbeversprechen und Wirklichkeit

Diese Thumbnails werden in der Eufy-App verwendet, um das Videostreaming von der Eufy-Basisstation zu aktivieren, sodass Eufy-Nutzer ihre Videos auch von unterwegs ansehen können. Da Eufy mit einem rein lokalen Service wirbt, ist dieses Verhalten ein absolutes No-Go. Moore vermutet, dass Eufy auch in der Lage ist, Gesichtserkennungsdaten, die von zwei separaten Kameras und zwei separaten Apps gesammelt wurden, mit den Nutzern zu verknüpfen, ohne dass die Kamerabesitzer davon wissen.

Moore führte weiter aus, dass auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugegriffen werden kann, was für Eufy-Nutzer alarmierend ist.

Eufy bestätigte bereits, dass Ereignislisten und Miniaturansichten auf Amazon AWS hochgeladen werden, sagte aber, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL beschränkt und zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.

Das Unternehmen hat mittlerweile ausführlich zu den Vorwürfen Stellung genommen und Änderungen gestartet. So werden API-Aufrufe verschlüsselt, um unberechtigte Zugriffe zu unterbinden.

Auszug aus der Stellungnahme:

Obwohl unsere eufy Security App den Nutzern ermöglicht, zwischen textbasierten und thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde nicht deutlich gemacht, dass bei der Auswahl thumbnail-basierter Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden müssen. Diese fehlende Kommunikation war ein Versehen unsererseits und wir bitten aufrichtig für unseren Fehler um Verzeihung. Zukünftig wird unsere Kommunikation in dieser Angelegenheit verbessert:

  • Wir überarbeiten die Sprache der Push-Benachrichtigungsoptionen in der eufy Security App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten Vorschaubilder erfordern, die vorübergehend in der Cloud gespeichert werden.
  • Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.
  • eufy Security setzt sich für den Schutz der Privatsphäre und der Daten seiner Nutzer ein und dankt der Sicherheitsforschungs-Community, die uns auf diesen Umstand aufmerksam gemacht hat."

Siehe auch:
Internet, Sicherheit, Hacker, Laptop, Security, Kriminalität, Cybercrime, Cybersecurity, Hacking, Hackerangriff, Internetkriminalität, Code, Programmierer, Coder, Sicherheitsexperten, Sicherheitsexperte, Person Internet, Sicherheit, Hacker, Laptop, Security, Kriminalität, Cybercrime, Cybersecurity, Hacking, Hackerangriff, Internetkriminalität, Code, Programmierer, Coder, Sicherheitsexperten, Sicherheitsexperte, Person
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!