Eufys Kameras funken ungefragt in die Cloud und sind per Web zugänglich

Keine Cloud nötig, lokale Datenspeicherung aufwärts den Geräten im eigenen Netzwerk, was auch immer sicher und privat – so lauten in etwa die Werbeversprechen zu Händen die Smart-Home-Geräte von Eufy. Dasjenige Unternehmen vertreibt unter anderem smarte Türklingeln mit Kamera, dennoch unter ferner liefen reine Überwachungskameras, die per WLAN ans eigene Netzwerk angebunden werden.

Eine Feature ist derbei, dass die Speicherung aufwärts den Cloudservern von Eufy nur optional ist. Zumindest scheint dies so zu sein. Denn wie jener Security-Forscher Paul Moore in Zusammenarbeit mit einer nur wie “Wasabi” bekannten Person herausgefunden hat, stimmt dies was auch immer nicht: Untergeordnet ohne seine Zustimmung wurden Datenmaterial aufwärts Eufy-Servern gespeichert, miteinander verknüpft und Schlimmeres.

Doorbell Dual telefoniert nachdem Hause

Moore fiel dies unerwünschte Verhalten an seiner eigenen Türklingel “Doorbell Dual” aufwärts, die eine Kamera verfügt. Ebendiese installierte er mit einem neuen Benutzerkonto, eine andere Eufy-Kamera besaß er schon. Im Weiteren sah er sich den Datentransfer jener neuen Kamera an und entdeckte schnell, dass sie fleißig mit den ihm schon bekannten Eufy-Servern kommunizierte, welches er in einem Youtube-Video festhielt. Die API-Aufrufe sind recht simpel gestrickt, wie später unter ferner liefen dies US-Medium The Verge selbst verifizierte: Sie gegeben unter anderem aus jener Seriennummer jener Kamera.

Reichlich die Webanfragen konnte Moore Vorschaubilder seiner Kameras abrufen. Sie sind offenbar unverschlüsselt aufwärts den Servern von Eufy gespeichert. Beim Gestalten jener Türklingel hatte er dennoch explizit angewählt, dass keine Datenmaterial jener Kamera in jener Cloud gespeichert werden sollen. Er entdeckte unter ferner liefen, dass mit dem Merkmal “Face-ID” versehene Datenmaterial aus beiden seiner Accounts so verknüpft worden waren. Gar wurden Fotos von jedem erkannten Gesicht laut Moore gespeichert.

Livestreams per VLC

Mittels jener URL-Aufrufe gelang es Paul Moore unter ferner liefen, Livestreams jener Kameras mehr als vereinigen PC mit dem beliebten Sendung VLC aufzurufen, welches wiederum The Verge wiederholen konnte. Moore zufolge ist dazu kein Zugang nötig – die Kenntnis jener URL reicht. Es folgte ein Mailwechsel mit dem Support von Eufy. Darin leugnete dies Unternehmen zunächst, dass seine Produkte wie beschrieben funktionieren würden, gab dann dennoch an, man habe dies Problem “gelöst” – während die API-Aufrufe verschlüsselt seien. Dasjenige konnte Moore dann in jener Folge unter ferner liefen sehen. The Verge wiederum gelang es unter ferner liefen später noch Livestreams von anderen, dem Medium bekannten Kameras zu starten. Mindestens: Durch simples URL-Raten soll dies nicht möglich sein.

Eine ausführliche Stellungnahme von Anker, dem Mutterunternehmen von Eufy, steht noch aus. Untergeordnet Paul Moore erhält seinen Datensammlung zufolge keine Erwidern mehr und hat rechtliche Schritte eingeleitet. Pro den Konzern, jener sich in den letzten Jahren vor allem durch Ladegeräte und Powerbanks vereinigen guten Ruf wie Zubehörlieferant aufgebaute, hat dies Verhalten seiner Kameras jetzt schon Nachstellen: Jener große Youtube-Programm Linus Tech Tipps hat die Zusammenarbeit mit Anker und seinen Töchtern eingestellt.

(nie)