Keine Cloud nötig, lokale Datenspeicherung auf den Geräten im eigenen Netzwerk, alles sicher und privat – das sind in etwa die Werbeversprechen für die Smart-Home-Geräte von Eufy. Das Unternehmen vertreibt unter anderem smarte Türklingeln mit Kamera, aber auch reine Überwachungskameras, die per WLAN mit dem eigenen Netzwerk verbunden sind.
Das Besondere ist, dass die Speicherung auf den Eufy-Cloud-Servern nur optional ist. Zumindest scheint das so zu sein. Denn als Sicherheitsforscher arbeitet Paul Moore mit einer nur als „Wasabi“ bekannten Person zusammen. herausgefundenNichts davon ist wahr: Auch ohne seine Erlaubnis wurden Daten auf Eufy-Servern gespeichert, miteinander verknüpft und Schlimmeres.
Doorbell Dual klingelt zu Hause
Moore bemerkte das unerwünschte Verhalten an seiner eigenen Türklingel, Doorbell Dual, die über eine Kamera verfügt. Diese hat er mit einem neuen Account installiert, er hatte bereits eine andere Eufy-Kamera. Anschließend beobachtete er die Datenübertragung von der neuen Kamera und stellte bald fest, dass diese fleißig mit den ihm bereits vertrauten Eufy-Servern kommunizierte, in denen er sich befand ein Youtube-Video gehaltenen. Die API-Aufrufe sind recht simpel, wie beim US-Medium später The Verge hat sich selbst verifiziert: Sie enthalten die Seriennummer der Kamera.
Durch die Webanfragen konnte Moore Miniaturansichten seiner Kameras erhalten. Sie werden offenbar unverschlüsselt auf den Eufy-Servern gespeichert. Bei der Einrichtung der Türklingel hat er sich jedoch ausdrücklich dafür entschieden, keine Kameradaten in der Cloud zu speichern. Er fand auch heraus, dass Daten, die mit dem „Face ID“-Attribut seiner beiden Konten gekennzeichnet waren, auf diese Weise verknüpft waren. Laut Moore werden Fotos von jedem erkannten Gesicht aufbewahrt.
Live-Streams von VLC
Mithilfe der URL-Ansichten konnte Paul Moore auch über einen PC mit dem beliebten VLC-Programm, das The Verge replizieren konnte, auf Live-Streams von den Kameras zugreifen. Laut Moore ist dafür kein Login erforderlich – die Kenntnis der URL reicht aus. Es folgte ein E-Mail-Austausch mit dem Eufy-Support. Darin bestritt Das Unternehmen sagte zunächst, dass seine Produkte wie angekündigt funktionieren würden, sagte dann aber, es habe das Problem durch Codieren der API-Aufrufe „behoben“. Moore konnte das in der Folge sehen. The Verge gelang es später, Livestreams von anderen dem Medium bekannten Kameras zu starten. Denn: Das sollte nicht durch einfaches Erraten der URL möglich sein.
Eine detaillierte Stellungnahme von Anker, der Muttergesellschaft von Eufy, steht noch aus. Auch Paul Moore erhält laut ihm keine Antworten mehr und hat dies auch getan rechtliche Schritte eingeleitet. Für den Konzern, der sich in den letzten Jahren vor allem durch Ladegeräte und Powerbanks einen guten Ruf als Zubehöranbieter aufgebaut hat, hat das Verhalten seiner Kameras bereits Konsequenzen: der große YouTube-Kanal Linus Tech Tips hat die Zusammenarbeit Set mit Anker und seinen Töchtern.
(nein)