ifun.de — Apple News seit 2001. 39 294 Artikel

Anker-Tochter massiv in der Kritik

Live-Video von eufy Sicherheitskameras lässt sich unverschlüsselt abrufen

Artikel auf Mastodon teilen.
43 Kommentare 43

Anker beziehungsweise deren Smarthome-Tochter eufy hat gerade zwei riesige Probleme. Zum einen lassen sich die Live-Videos der eufy-Kameras entgegen den Versprechungen des Herstellers auch unverschlüsselt abrufen. Dazu kommt, dass der Hersteller anstatt hier offen zu kommunizieren versucht hat, die Angelegenheit zu vertuschen.

Eufy Sicherheit

Bereits in der vergangenen Woche wurden erste Vorwürfe laut, dass die Videoaufzeichnungen der eufy-Kameras anders als vom Hersteller kommuniziert zum Teil auch unverschlüsselt auf dessen Servern gespeichert werden. Konkret stellte sich dabei heraus, dass zwar die Videoaufzeichnungen an sich standardmäßig verschlüsselt würden, nicht jedoch jene kurzen Videoclips, die man gemeinsam mit der Benachrichtigung über eine Aktivität erhält, also beispielsweise wenn ein Bewegungsmelder eine Person erkennt oder der Knopf der Videotürklingel des Herstellers gedrückt wird.

Während der Hersteller diesbezüglich noch nach einer Erklärung suchte und von einem Missverständnis sprach, hat der Sicherheitsforscher Paul Moore nun jedoch den eigentlichen Hammer nachgereicht. Seinen Aussagen zufolge lassen sich die Streams beliebiger eufy-Kameras ohne Authentifizierung und Verschlüsselung ganz einfach über gewöhnliche Video-Apps wie den VLC-Player abrufen. Einzig lässt sich hier beschwichtigend erwähnen, dass man wohl nur mit entsprechendem Aufwand an die hierfür benötigten Adressen gelangt. Generell legt diese Entdeckung allerdings eine gravierende Schwachstelle im System der Anker-Tochter offen.

eufy streitet die Schwachstelle zunächst pauschal ab

Vom Magazin The Verge auf diese Tatsache angesprochen, hat ein Anker-Sprecher denkbar schlecht reagiert und diesen Sachverhalt rundum abgestritten. Der PR-Manager des Unternehmens wird mit den Worten zitiert, „Ich kann bestätigen, dass es nicht möglich ist, einen Stream zu starten und Live-Aufnahmen mit einem Drittanbieter-Player wie VLC anzusehen“. Allerdings konnte The Verge die dem entgegenstehenden Aussagen des Sicherheitsforschers im Test mit eigenen Kameras bestätigen.

Als gute Nachricht für Anwender sei allerdings zu erwähnen, dass es zuvor nötig war, sich mit validen Anmeldedaten bei eufy zu authentifizieren, um die für die VLC-Wiedergabe benötigte Adresse zu erlangen. Auch sei ein entsprechender Zugriff nur dann möglich, wenn die Kamera gerade aktiv ist, also sie beispielsweise durch eine Bewegung oder einen Eingriff des Besitzers aufgeweckt wurde.

Eufy Sicherheitsversprechen

Aussagen zur Produktsicherheit auf der eufy-Webseite

Unbefugter Zugriff kann nicht ausgeschlossen werden

Es könne jedoch nicht ausgeschlossen werden, dass sich Unbefugte auf andere Weise Zugriff zu den unverschlüsselten Kamera-Streams verschaffen, da die Adresse zu großen Teilen aus einer kodierten Variante der Seriennummer der Geräte und Anhängseln bestehen, die sich durch Automatismen wie einen sogenannten Brute-Force-Angriff herausfinden lassen.

Als weiteren validen Kritikpunkt nennt ein Sicherheitsforscher die Tatsache, dass die Adresse des VLC-Streams angesichts der darin enthaltenen Seriennummer fest mit der Kamera verknüpft sei und ein Verkäufer somit zumindest theoretisch die Möglichkeit hat, weiter auf die Live-Aufnahmen der Kameras zuzugreifen.

Während wir noch auf eine umfassende Stellungnahme von eufy beziehungsweise Anker warten, lautet das Zwischenfazit der Sicherheitsforscher, dass es zwar schlimmer sein könne, der Hersteller seine Sicherheitsversprechen aber nicht annähernd einhält.

Besitzer von eufy-Kameras, die HomeKit Secure Video unterstützen und angesichts dieser Meldungen beunruhigt sind, sollten auf die von eufy angebotenen Zusatzfunktionen verzichten und ihre Geräte ausschließlich als HomeKit-Kameras verwenden. Dann bleiben die Server der Anker-Tochter außen vor.

01. Dez 2022 um 09:11 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    43 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Gut, dass meine Cams nicht über die App von außen erreichbar sind und ausschließlich mit HomeKit laufen.

    • Genau so muss man das scheinbar konfigurieren:

      • entweder man hat einen von Homekit unterstützten Router
      • oder für die Kameras unterbindet man den Internetzugang

      Es gibt noch eine Homebase – wenn diese Zugriff auf die Kameras hat, muss man auch für diese den Internetzugang sperren.

      Eine gute Idee ist vielleicht ein IoT VLAN einzurichten, dass strenge Regeln etabliert.

      Für Updates muss man dann kurz die Geräte ins Internet lassen – mache Geräte können auch vom Handy aus das Update erhalten (nicht bei eufy). Hierzu könnte man auch einen HTTP Proxy aufbauen, was aber schon mehr an Aufwand bedeuten würde.

      • Für die Cams den Internetzugang zu sperren funktioniert nicht. Ich habe hier zwei Eufy Cams die komplett den Dienst verweigern, wenn man sie keinen Internetzugriff haben (In der FritzBox gesperrt). Sie brauchen Kontakt zum Eufy Server um zu laufen.

        Ich würde gerne nur auf meiner DiskStation aufzeichnen. Aber geht rein lokal scheinbar nicht.

        Hier werden die Cams nur im Urlaub verwendet. Da stört es mich nicht, wenn Bilder vom leeren Haus auch bei Eufy landen. Aber als permanente Überwachungs-Cam wären sie damit für mich raus.

      • Wie gesagt, rein HomeKit funktioniert, wenn sie in der Fritte gesperrt sind.
        Ich habe hier 7 Stk im Einsatz, funktioniert Problemlos.

    • Leider kann man die mit Homekit noch nicht steuern. (Drehen/Hoch/Runter)

  • Das Problem ist, dass in der eufy App, das streamen über die eufy App ausgestellt habe, trotzdem streamt es über die eufy App. Bei den 2c pro kann man sie leider nicht aus der eufy App entfernen, sonst verschwinden sie auch in HomeKit.

  • Danke für die Info. Dann hatte ich ja den richtigen Riecher, als ich mich kürzlich dazu entschieden habe, von der eufy-Lösung auf Homekit zu wechseln. Beides kostet rund 10€ monatlich, aber bei Apple hat man zu der Videospeicherung noch 2 TB iCloud dabei. Und – wenn man es entsprechend einstellt – schalten sich die Kameras automatisch beim Verlassen der Wohnung ein und auf dem Rückweg wieder aus.

    • Die Kameras halten sich scheinbar nicht an die Homekit Secure Video Regeln und bauen neben der Homekit Verbindung einen weitere Verbindung nach draußen auf. Es hat sich gezeigt, dass diese Verbindung zu allem Übel nicht einmal durch ein Kennwort geschützt ist.

    • Aus eigener Erfahrung kann ich dir sagen, dass die Polizei sich bei einer Hausdurchsuchung eine Spiegelung aller Daten, inklusive Video Aufzeichnungen mit einem Klick sichert. Deswegen machen wir es nur noch mit einem eigenen NAS von Synology. Es ist erschreckend, wenn die Regierung so einfach alles sehen kann, was im Haus passiert.

      bei dieser Hausdurchsuchung ging es um eine EMail in dem ein Beamter Bekleidung wurde.

  • Was habt ihr bloß alle zu verbergen? Steht die Kamera im geheimen Hinterzimmer wo die Schwarzgeld Zählmaschine läuft?
    In jeder Bahn/Bus/Innenstadt/Bank/Tanke wird gefilmt und niemand weiß wo das gespeichert wird oder wer in welchem Land zuguckt….

  • Hört sich alles nicht gut an aber ich habe nach guten Kameras für HomeKit gesucht und nichts gefunden.
    Sollte per W-Lan und mit einem Akku laufen.

    Danke Olli

  • Wie bekomme ich denn die Indoor cams aus der eufy ab gelöscht, ohne sie aus HomeKit zu schmeißen?
    Ein How to wäre super!
    Uns ist aufgefallen das der stream in der eufy App, wir nutzen sie vorrangig als Babyfon, stabiler läuft als im HK.
    Einfach die Kameras aus der eufy App löschen und das reicht? Oder kann man diese drin lassen aber das streamen/aufzeichnen abschalten?

    • Also ich habe jetzt mal geprüft und alles in eufy deaktiviert: Geräusch- & Bewegungserkennung, und alle Audio und Videoeinstellungen deaktiviert in der eufy App.
      Apple HK läuft weiter.
      Interessant: für die Bewegungserkennung in HK benötigt es nicht die aktive Zuschaltung in der eufy App.
      Damit aber Ton im HK ausgegeben und aufgezeichnet werden kann muss dies auch in der eufy App aktiviert sein.

      Reicht das jetzt? Oder was fehlt noch?

  • Es lässt sich nicht abstreiten, dass es ein Problem ist welches so schnell wie möglich behoben werden sollte. Der Aufwand um die Lücke auch zu nutzen ist für wen genau interessant? Die Eufy Lösungen sind mit Sicherheit zum Großteil im privaten Bereich im Einsatz, denn für Unternehmen gibt es wesentlich professionellere Ansätze bzw. Lösungen.

    Viel schlimmer finde ich tatsächlich die Kommunikation seitens Anker/Eufy. Das geht gar nicht und kostet Vertrauen.

    Ich bin selbst übrigens auch betroffen, wir haben mehrere Eufy Cam 2 Pro samt Basis im Einsatz, unternehmen werde ich, weil privater Bereich, nichts. Vielleicht sehe ich das zu locker, wer weiss…

  • Lang lebe eero. Mit HomeKit Secure Router einfach die eufy cams auf das lokale Netzwerk beschränkt :-)

  • Also bitte, lasst den Xi Jinping doch mal die Freiheit die Videostreams auch anzuzapfen. Wer billig kauft, kauft oft unsicher.

  • Ein OT-Frage zu Kamera: Ich suche eine Kamera für außen. Strom (230V) ist direkt vorhanden, WLAN auch, allerdings kein Cat-Kabel. Hat jemand Kamerastipps mit HKSV?

    Königsdisziplin wäre, wenn sich bestimmte Teile des Kamerabildes schwärzen lassen würden. Ich bin unsicher, ob ich alle Kameras so ausgerichtet bekomme, dass keine Straße etc mit drauf ist. Danke euch!

  • Üble Sache, das! Viele, Ubiquiti, Synology, Anker etc. haben bei Sicherheitsschlampereien schon so unschön reagiert. Nicht nur in der IT ist das heute eher die Regel……ich sage nur Dieselgate.
    Allerdings ist es auch ein großes Problem, dass in so einer Situation sofort ein total entfesseltet ShitStorm losbricht, aus dem eine Firma kaum unbeschadet heraus kommt.
    Ich habe einige Eufy mit Basis im Einsatz, HomeKit nutze ich nicht.
    Überwacht werden Bereiche im das Haus herum. Da sieht man nichts, was mich stören würde.
    Als Nutzer vernetzter Geräte, zumal mit Mikro und Kamera, bin ich mir allerdings bewusst, es kann evt. jemand zugucken/hören. Das schließt auch den Besuch/Geschäftspartner ein, der „nur“ die Sprachnotiz aktiviert hat und das iPhone liegt harmlos auf dem Schreibtisch rum.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39294 Artikel in den vergangenen 8431 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven