Eufy-Security-Kameras: Daten landeten unberechtigt in der Cloud
An der Sicherheit der Daten bei Verwendung von Eufy-Kameras kamen in dieser Woche Bedenken auf. Ein Sicherheitsexperte hatte gezeigt, dass sich Aufnahmen über die Cloud einsehen lassen, auch wenn Nutzer die lokale Datenspeicherung aktiviert hatten.
Eufy wurde beim Hochladen von Inhalten in die Cloud ohne Zustimmung des Nutzers erwischt (via The Verge). Eufy hatte trotz der Auswahl "lokale Datenspeicherung" Daten teils auch in die Cloud gesendet und dazu noch versäumt, die Daten zu verschlüsseln.
Das Resultat war, dass jeder, der eine URL zu einem Video einer Eufy-Kamera hatte, auch auf die Datei zugreifen konnte. Diese Information stammt vom Sicherheitsberater Paul Moore, der ein Video veröffentlicht hat, in dem er das Problem beschreibt.
Nach Angaben von Moore hat er eine Eufy Doorbell Dual gekauft, die eigentlich Aufnahmen direkt auf das Gerät speichern sollte. Jedoch stellte er fest, dass Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hochgeladen hatte. Eufy lädt dabei nicht automatisch das komplette Streaming-Video in die Cloud hoch, sondern vielmehr Miniaturansichten.
Moore führte weiter aus, dass auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugegriffen werden kann, was für Eufy-Nutzer alarmierend ist.
Eufy bestätigte bereits, dass Ereignislisten und Miniaturansichten auf Amazon AWS hochgeladen werden, sagte aber, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL beschränkt und zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.
Das Unternehmen hat mittlerweile ausführlich zu den Vorwürfen Stellung genommen und Änderungen gestartet. So werden API-Aufrufe verschlüsselt, um unberechtigte Zugriffe zu unterbinden.
Siehe auch:
Das Resultat war, dass jeder, der eine URL zu einem Video einer Eufy-Kamera hatte, auch auf die Datei zugreifen konnte. Diese Information stammt vom Sicherheitsberater Paul Moore, der ein Video veröffentlicht hat, in dem er das Problem beschreibt.
Nach Angaben von Moore hat er eine Eufy Doorbell Dual gekauft, die eigentlich Aufnahmen direkt auf das Gerät speichern sollte. Jedoch stellte er fest, dass Eufy Miniaturbilder von Gesichtern und Benutzerinformationen in seinen Cloud-Service hochgeladen hatte. Eufy lädt dabei nicht automatisch das komplette Streaming-Video in die Cloud hoch, sondern vielmehr Miniaturansichten.
Werbeversprechen und Wirklichkeit
Diese Thumbnails werden in der Eufy-App verwendet, um das Videostreaming von der Eufy-Basisstation zu aktivieren, sodass Eufy-Nutzer ihre Videos auch von unterwegs ansehen können. Da Eufy mit einem rein lokalen Service wirbt, ist dieses Verhalten ein absolutes No-Go. Moore vermutet, dass Eufy auch in der Lage ist, Gesichtserkennungsdaten, die von zwei separaten Kameras und zwei separaten Apps gesammelt wurden, mit den Nutzern zu verknüpfen, ohne dass die Kamerabesitzer davon wissen.Moore führte weiter aus, dass auf unverschlüsselte Eufy-Kamerainhalte ohne Authentifizierung zugegriffen werden kann, was für Eufy-Nutzer alarmierend ist.
Eufy bestätigte bereits, dass Ereignislisten und Miniaturansichten auf Amazon AWS hochgeladen werden, sagte aber, dass die Daten nicht an die Öffentlichkeit gelangen können, da die URL beschränkt und zeitlich begrenzt ist und eine Anmeldung am Konto erfordert.
Das Unternehmen hat mittlerweile ausführlich zu den Vorwürfen Stellung genommen und Änderungen gestartet. So werden API-Aufrufe verschlüsselt, um unberechtigte Zugriffe zu unterbinden.
Auszug aus der Stellungnahme:
Obwohl unsere eufy Security App den Nutzern ermöglicht, zwischen textbasierten und thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde nicht deutlich gemacht, dass bei der Auswahl thumbnail-basierter Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden müssen. Diese fehlende Kommunikation war ein Versehen unsererseits und wir bitten aufrichtig für unseren Fehler um Verzeihung. Zukünftig wird unsere Kommunikation in dieser Angelegenheit verbessert:- Wir überarbeiten die Sprache der Push-Benachrichtigungsoptionen in der eufy Security App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten Vorschaubilder erfordern, die vorübergehend in der Cloud gespeichert werden.
- Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.
- eufy Security setzt sich für den Schutz der Privatsphäre und der Daten seiner Nutzer ein und dankt der Sicherheitsforschungs-Community, die uns auf diesen Umstand aufmerksam gemacht hat."
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen