Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

Ich bin im Bereich Smart Home ein Fan von Eve: Deren hardware ist zwar etwas teurer, aber der Hersteller betreibt erst gar keine eigene Cloud, weil man sich zu 100% zu HomeKit bekennt. Wie sinnvoll und wie gut diese Entscheidung ist. demonstriert Eufy gerade wieder eindrucksvoll.

Erneute Datenpanne bei Eufy

Vor allem im Bereich Sicherheitskameras war Eufy lange zeit eine gern genutzte Alternative, den günstigen Preisen sei Dank. Doch das hat seinen Preis, in diesem Fall geht es dabei um den Datenschutz und die Privatsphäre. Bereits zum zweiten Mal ließen sich Bilder und Live-Videofeeds der Kameras von Eufy einfach so im Netz einsehen – innerhalb von nicht einmal 24 Monaten, wie hier berichtet. Erste Vorwürfe gab es bereits vor rund einer Woche, damals wie vor rund zwei Jahren erfolgte ein Dementi. Konkret stellte sich dabei heraus, dass zwar die Videoaufzeichnungen an sich standardmäßig verschlüsselt würden, nicht jedoch jene kurzen Videoclips, die man gemeinsam mit der Benachrichtigung über eine Aktivität erhält, also beispielsweise wenn ein Bewegungsmelder eine Person erkennt oder der Knopf der Videotürklingel des Herstellers gedrückt wird.

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC – I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

Wie damals vor knapp zwei Jahren versuchte Eufy auch dieses Mal, der Technik (also dem Server) die Schuld zuzuschieben. Doch der Sicherheitsforscher zog hier sofort den Stecker: Seinen Aussagen zufolge lassen sich die Streams beliebiger eufy-Kameras ohne Authentifizierung und Verschlüsselung ganz einfach über gewöhnliche Video-Apps wie den VLC-Player abrufen. Einzig lässt sich hier beschwichtigend erwähnen, dass man wohl nur mit entsprechendem Aufwand an die hierfür benötigten Adressen gelangt.

Ohne aktivierte Eufy-Cloud werden Daten dennoch übertragen

Den Aufwand mal dahingestellt, ist hier aber etwas anderes ziemlich besrogniserregend. Moore zufolge ließ sichd er Stream auch dann abrufen, wenn die Übermittlung in die Cloud von eufy in der App deaktiviert wurde. Eufy setzt sich also schlicht über den Kunden hinweg, was im Bereich Sicherheitskameras schon absolut unverzeihlich ist und dann werden die Daten noch nicht einmal verschlüsselt.

Als weiteren validen Kritikpunkt nennt ein Sicherheitsforscher die Tatsache, dass die Adresse des VLC-Streams angesichts der darin enthaltenen Seriennummer fest mit der Kamera verknüpft sei und ein Verkäufer somit zumindest theoretisch die Möglichkeit hat, weiter auf die Live-Aufnahmen der Kameras zuzugreifen.

Schwerer Imageschaden für Eufy bzw. Anker

Das erinenrt verblüffend an die Sachlage vor rund zwei Jahren, damals wurden falschen Nutzern die Feeds eingeblendet. Es ist also absolut unerklärlich, wie Eufy ernsthaft dachte, noch einmal davon zukommen. Das wirft einen schweren Imageschaden auf Eufy bzw. dessen Mutter Anker.

Warnung

Besitzer von eufy-Kameras, die HomeKit Secure Video unterstützen und angesichts dieser Meldungen beunruhigt sind, sollten auf die von eufy angebotenen Zusatzfunktionen verzichten und ihre Geräte ausschließlich als HomeKit-Kameras verwenden. Dazu muss HomeKit Secure Video aktiviert werden. Was das ist und wie das geht, habe ich hier erklärt. Dann bleiben die Server der Anker-Tochter außen vor. Oder man kauft ein Modell einer anderen Marke wie Beispielsweise die Eve Cam

-> Eve Cam kaufen

Leider ist es nicht die erste gravierende Datenpanne von Eufy, weshalb ich seit dem ersten Vorfall komplett darauf verzichtete, Affiliates von Eufy hier zu platzieren. Solche Firmen lernen nur dann den Datenschutz und die Privatsphäre zu respektieren, wenn es an den Umsatz und die Gewinne geht.

Was sagt Ihr dazu? Habt Ihr Kameras von Eufy im Einsatz? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels