Als wir die bewerteten Eufy Video-Türklingel Dual als einer der Die besten Video-Türklingeln, einer der Gründe, warum wir seine Fähigkeit angepriesen haben, Videos lokal zu speichern. Dies ist – theoretisch – großartig für Benutzer, die nicht möchten, dass ihre persönlichen Daten auf einem Cloud-Server gespeichert werden, der kompromittiert werden könnte. Leider können Benutzer in der Praxis sensible Daten an die Cloud senden, ohne es zu wissen.
Wie von berichtet Android-Zentrale (öffnet in neuem Tab)Sicherheitsforscher Paul Moore (öffnet in neuem Tab) fanden heraus, dass trotz Eufys Versprechen eines vollständig lokalen Speichersystems er bei Verwendung der Eufy Video Doorbell Dual-Kamera auf Miniaturansichten von Bildern zugreifen konnte, die für die Gesichtserkennung und Metadaten verwendet wurden, die verwendet werden konnten, um ihn in der Cloud gespeichert zu identifizieren. Wenn das System wirklich vollständig lokal ist, sollten diese Thumbnails es nicht auf die Server von Eufy geschafft haben. Doch selbst nach dem Löschen der lokal gespeicherten Daten konnte Moore noch auf Thumbnails und Screenshots von den AWS-Servern von Eufy zugreifen.
Dies war auch kein einmaliges Problem, Moore verwendete eine andere Kamera, HomeBase (für die lokale Speicherung) und einen Benutzernamen, um das Problem zu replizieren, und stellte fest, dass Eufy trotz der Verwendung eines völlig anderen Systems immer noch in der Lage war, seine Gesichtserkennungs-ID zu markieren und zu verknüpfen mit seinem Bild. Das soll nur möglich sein, wenn Eufy tatsächlich Gesichtserkennungsdaten in der Cloud speichert.
Bestätigen, dass EufyCam 2C und die Homebase ebenfalls problematisch sind. Mit dem Webinspektor kann ich eine URL finden, die ich in einen anderen Browser einfügen kann, und eine Online-Miniaturansicht des zuletzt aufgezeichneten Ereignisses anzeigen.28. November 2022
Das Schlimmste daran ist, dass diese sensiblen Daten scheinbar unverschlüsselt übertragen werden. In Kombination mit sensiblen identifizierbaren Informationen stellt dies eine potenziell massive Datenschutz- und Sicherheitsverletzung dar. Außerdem ein anderer Benutzer, Andreas Oz (öffnet in neuem Tab), war angeblich in der Lage, unter Verwendung der richtigen URL auf Videos von Kameras zuzugreifen, die von einem Webbrowser gestreamt wurden. Dies erfordert Berichten zufolge keine Authentifizierung für den Zugriff und Moore sagt (öffnet in neuem Tab) dass er in der Lage war, dieses Problem zu replizieren – obwohl er es ablehnte, Beweise zu liefern, wahrscheinlich aus Sicherheitsgründen.
Eufys Antwort auf Datenschutz- und Sicherheitsbedenken
Hatte gerade ein langes Gespräch mit der Rechtsabteilung von @EufyOfficial. In diesem Stadium ist es angemessen, ihnen Zeit zu geben, um Nachforschungen anzustellen und geeignete Maßnahmen zu ergreifen. Umgekehrt ist es nicht richtig für mich, weiter zu kommentieren. Ich werde ein Update bereitstellen, sobald und wenn möglich. Vielen Dank!28. November 2022
Eufy hat seinerseits auf die Vorwürfe von Moore und anderen reagiert. In einer Erklärung gegenüber Android Central, dass ein Sprecher von Anker (Anker besitzt Eufy) sagte, dass wir es auch verwenden könnten, gibt Eufy an, dass diese Probleme größtenteils dadurch verursacht werden können, dass bestimmte Einstellungen aktiviert sind. Eufy sagt, dass Kamerabenachrichtigungen standardmäßig auf Nur-Text eingestellt sind und kein Thumbnail generieren oder hochladen. Aber in Moores Fall aktivierte er die Option, Miniaturansichten zusammen mit der Benachrichtigung anzuzeigen. Da diese Einstellung aktiviert wurde, lädt Eufy die Thumbnail-Daten vorübergehend auf seine AWS-Server hoch, um sie zu bündeln und als Benachrichtigung an das Gerät des Benutzers zu senden. Laut seiner Erklärung „sagt Eufy, dass seine Push-Benachrichtigungspraktiken „den Standards des Apple Push Notification Service und Firebase Cloud Messaging entsprechen“ und automatisch löschen, hat aber keinen Zeitrahmen angegeben, in dem dies geschehen sollte.“
In Bezug auf Verschlüsselungsprobleme gibt Eufy an, dass sie ein gewisses Maß an Verschlüsselung verwenden. Laut seiner Erklärung sagt Eufy, dass „Thumbnails serverseitige Verschlüsselung verwenden“ und nur angezeigt werden können, wenn ein Benutzer angemeldet ist. Obwohl sich Moore in seinem Webbrowser im Inkognito-Modus befand, hatte er sich bei Eufys Webclient angemeldet und daher denselben Cache verwendet mit dem er sich bereits authentifiziert hatte. Deshalb konnte er auf die sensiblen Daten zugreifen.
Das soll nicht heißen, dass Eufy sich weigert, irgendeine Verantwortung für das Problem zu übernehmen. Das Unternehmen erklärt: „Wir überarbeiten die Sprache der Push-Benachrichtigungsoption im eufy [SIC] Sicherheits-App, um deutlich zu machen, dass Push-Benachrichtigungen mit Miniaturansichten Vorschaubilder erfordern, die vorübergehend in der Cloud gespeichert werden.“ Sie erklären auch, dass sie „in unseren verbraucherorientierten Marketingmaterialien deutlicher über die Verwendung der Cloud für Push-Benachrichtigungen sprechen werden“.
Fazit: Wir haben noch einige Bedenken bezüglich des Datenhandlings von Eufy
Eufys Aussage lässt uns definitiv glauben – zumindest für den Moment – dass einige dieser Probleme auf schlechte Kommunikation zurückzuführen sind. Es ist zwar beunruhigend, dass ein Unternehmen, das seine Fähigkeit ankündigt, sich von der Cloud zu befreien, eine Funktion hat, die die Speicherung von Daten in der Cloud erfordert, aber es gibt möglicherweise einfach keine bessere Möglichkeit, Benachrichtigungen als Miniaturansicht bereitzustellen. Außerdem ist die Problemumgehung, nur Textbenachrichtigungen zu verwenden, kein Deal Breaker.
Eufy muss jedoch noch Bedenken hinsichtlich der Möglichkeit, Videos von Kameras anzuzeigen, die über einen Webbrowser gestreamt werden, ausräumen. Angesichts der Tatsache, dass keine Authentifizierung erforderlich zu sein scheint – obwohl Moore wiederum keinen Proof of Concept vorgelegt hat – ist dies ein ernstes Problem. Eufy sagte in seiner Erklärung, dass seine „Produkte, Dienstleistungen und Prozesse den Standards der Allgemeinen Datenschutzverordnung (DSGVO), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645, vollständig entsprechen“. Moore hatte angesichts dieser neuen Entwicklungen rechtliche Schritte gegen Eufy eingeleitet, um die Einhaltung der DSGVO anzufechten, aber sein aktueller gepinnter Tweet besagt, dass er in Gesprächen mit der Rechtsabteilung ist und ihnen erlaubt, weitere Nachforschungen anzustellen. Wenn wir mehr Details erfahren, werden wir diesen Artikel aktualisieren.
Wenn Sie in der Zwischenzeit nach einer großartigen Video-Türklingel suchen, um Ihr Smart Home aufzurüsten, ist unsere Kaufberatung für Video-Türklingeln hat eine Menge Optionen von Eufy und seinen Konkurrenten – aber seien Sie gewarnt, selbst unsere besten Türklingeln sind nicht fehlerfrei. In diesem Sommer haben wir darüber berichtet, wie Ring und Nest können der Polizei erlauben, Ihre Video-Türklingel zu sehen ohne Ihre Zustimmung. Wir haben in diesem Artikel tatsächlich die Eufy Video-Türklingel Dual empfohlen, aber wenn Sie angesichts dieser jüngsten Anschuldigungen keine Eufy-Türklingel wollen, die Wyze Video Doorbell Pro ist eine großartige Option, die verhindert, dass Benutzermaterial ohne Durchsuchungsbefehl oder Gerichtsbeschluss verwendet wird, aber keine Ende-zu-Ende-Verschlüsselung oder lokale Speicherung hat.