De beelden die Eufy-camera’s maken, worden toch niet alleen offline bewaard zoals de fabrikant het beloofd. Eufy stuurt beelden en gevoelige gegevens naar servers van Amazon zonder dat gebruikers ervan op de hoogte zijn. Maar er is mogelijk nog veel meer aan de hand.
Lees verder na de advertentie.
Update 07/12/2022: We hebben een Engelstalige reactie van Eufy aan dit artikel toegevoegd.
Eufy privacyproblemen
Eufy komt in nauwe schoentjes te zitten. De fabrikant van beveiligingscamera’s en videodeurbellen – en een dochterberdrijf van Anker – wordt uit verschillende hoeken ervan beschuldigd dat het de privacy van gebruikers niet beschermt zoals het belooft.
Maar laat ons even bij het begin beginnen. Eufy heeft er altijd als een van de weinige spelers in de industrie voor gekozen om videobeelden van gebruikers volledig offline te verwerken en dat in combinatie met een eigen Homebase-server voor elke klant. De meeste andere fabrikanten van beveiligingscamera’s duwen gebruikers in de richting van cloudopslag, wantdat gaat dan gepaard met inkomsten uit abonnementen. Eufy heeft ook wel zo’n abonnement, maar dat is een volledig optionele dienst.
Beelden naar de cloud verstuurd
Het is die schijnbaar privacyvriendelijke aanpak van Eufy die nu openlijk in vraag wordt gesteld. Beveiligingsconsultant Paul Moore schreef op 23 november op Twitter dat camera’s en videodeurbellen videofragmenten uploaden naar cloudservers zonder dat cloudfunctionaliteiten zijn ingesteld. Gebruikers werden er ook niet van op de hoogte gebracht. Het gaat ook nog verder dan dat, want Eufy’s camera’s sturen daarnaast gegevens over gezichtsherkenning naar servers van Amazon.
In een reactie heeft Eufy informatie in deze aantijgingen grotendeels bevestigd (via Twitter) en inmiddels heeft het in zijn iOS-app ook in kleine letters verwoord dat fragmenten inderdaad naar de cloud worden verstuurd, maar alleen als gebruikers pushmeldingen met bijbehorende thumbnails hebben aanstaan. Die kleine letters zijn ontdekt door ZDNet.
Gestreamd met VLC
Deze feiten klinken alsof ze het vertrouwen van klanten kunnen beschadigen, maar mogelijk is er nog meer aan de hand. Dezelfde Paul Moore beweert (via Twitter) samen met een andere onderzoeker dat het ook mogelijk is om vanaf de andere kant van de wereld live beelden te streamen van Eufy-camera’s via een simpele tool zoals VLC Media Player. Er is ook van encryptie geen sprake, ook al is dat ook één van de privacybeloften waar Eufy mee uitpakt.
Dit zou in principe niet mogelijk mogen zijn omdat live-beelden normaal gezien nooit je huis zouden verlaten. Toch konden redacteurs van The Verge de bevindingen alvast bevestigen. Zij hebben via de cloud en met VLC beelden van hun eigen camera’s gestreamd.
Bij het streamen via VLC gaat wel een inlogprocedure aan vooraf. Een waarbij onder meer de serienummer van je camera gebruikt wordt om toegang te krijgen tot de live beelden. Het is daarom ook niet ondenkbaar dat kwaadwillenden deze methode zouden gebruiken om toegang te krijgen tot live beelden, zonder dat Eufy-gebruikers er weet van hebben – en die sowieso al eigenlijk voor niemand toegankelijk mochten zijn via de cloud. De volledige methode om live beelden van Eufy-camera’s te streamen met VLC werd niet openbaar gemaakt.
Eufy ontkent
Er zijn gelukkig geen aanwijzingen dat er ook echt misbruik is gemaakt van deze kwetsbaarheid. Wel wijst het er mogelijk op dat Anker, het Chinese moederbedrijf van Eufy, in principe zelf toegang kan krijgen tot beelden van gebruikers, vermits er geen effectieve encryptie is. Dat klinkt op zijn minst verontrustend.
Anker heeft bij The Verge gereageerd op de aantijgingen over de cloud-streams via VLC Media Player. Het bedrijf ontkent de bevindingen. “Ik kan bevestigen dat het niet mogelijk is om een stream te beginnen en live te kijken naar beelden via een dienst van derden zoals VLC”, dat zegt Brett White, senior PR manager bij Anker.
Hieronder delen we ook een reactie die Androidworld heeft ontvangen:
“Eufy Security adamantly disagrees with the accusations levied against the company concerning the security of our products. However, we understand that the recent events may have caused concern for some users. We frequently review and test our security features and encourage feedback from the broader security industry to ensure we address all credible security vulnerabilities. If a credible vulnerability is identified, we take the necessary actions to correct it. In addition, we comply with all appropriate regulatory bodies in the markets where our products are sold. Finally, we encourage users to contact our dedicated customer support team with questions.”
Woordvoerder van Eufy
Wat denk jij over wat deze onderzoekers hebben ontdekt bij camera’s van Eufy? Maak jij je zorgen over de ontdekkingen en overweeg jij misschien om in de plaats andere camera’s in huis te halen? Laat het ons weten in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten