Eufys Kameras funken ungefragt in die Cloud und sind per Web zugänglich
Die Anker-Tochter Eufy wirbt für Überwachungskameras und smarte Türklingeln mit lokaler Datenspeicherung. Das stimmt auf mehreren Ebenen nicht.
Auf der Doorbell Dual von Eufy steht "Security" was offenbar nicht für die Technik dahinter gilt.
(Bild: Eufy)
Keine Cloud nötig, lokale Datenspeicherung auf den Geräten im eigenen Netzwerk, alles sicher und privat – so lauten in etwa die Werbeversprechen für die Smart-Home-Geräte von Eufy. Das Unternehmen vertreibt unter anderem smarte Türklingeln mit Kamera, aber auch reine Überwachungskameras, die per WLAN ans eigene Netz angebunden werden.
Eine Besonderheit ist dabei, dass die Speicherung auf den Cloudservern von Eufy nur optional ist. Zumindest scheint das so zu sein. Denn wie der Security-Forscher Paul Moore in Zusammenarbeit mit einer nur als "Wasabi" bekannten Person herausgefunden hat, stimmt das alles nicht: Auch ohne seine Zustimmung wurden Daten auf Eufy-Servern gespeichert, miteinander verknüpft und Schlimmeres.
Doorbell Dual telefoniert nach Hause
Moore fiel das unerwünschte Verhalten an seiner eigenen Türklingel "Doorbell Dual" auf, die eine Kamera besitzt. Diese installierte er mit einem neuen Account, eine andere Eufy-Kamera besaß er schon. Danach sah er sich den Datentransfer der neuen Kamera an und entdeckte schnell, dass sie fleißig mit den ihm schon bekannten Eufy-Servern kommunizierte, was er in einem Youtube-Video festhielt. Die API-Aufrufe sind recht simpel gestrickt, wie später auch das US-Medium The Verge selbst verifizierte: Sie bestehen unter anderem aus der Seriennummer der Kamera.
Über die Webanfragen konnte Moore Vorschaubilder seiner Kameras abrufen. Sie sind offenbar unverschlüsselt auf den Servern von Eufy gespeichert. Beim Einrichten der Türklingel hatte er aber explizit angewählt, dass keine Daten der Kamera in der Cloud gespeichert werden sollen. Er entdeckte auch, dass mit dem Attribut "Face-ID" versehene Daten aus beiden seiner Accounts so verknüpft worden waren. Überhaupt wurden Fotos von jedem erkannten Gesicht laut Moore gespeichert.
Livestreams per VLC
Anhand der URL-Aufrufe gelang es Paul Moore auch, Livestreams der Kameras über einen PC mit dem beliebten Programm VLC aufzurufen, was wiederum The Verge nachvollziehen konnte. Moore zufolge ist dafür kein Login nötig – die Kenntnis der URL reicht. Es folgte ein Mailwechsel mit dem Support von Eufy. Darin leugnete das Unternehmen zunächst, dass seine Produkte wie beschrieben arbeiten würden, gab dann aber an, man habe das Problem "gelöst" – indem die API-Aufrufe verschlüsselt seien. Das konnte Moore dann in der Folge auch sehen. The Verge wiederum gelang es auch später noch Livestreams von anderen, dem Medium bekannten Kameras zu starten. Immerhin: Durch simples URL-Raten soll das nicht möglich sein.
Eine ausführliche Stellungnahme von Anker, dem Mutterunternehmen von Eufy, steht noch aus. Auch Paul Moore erhält seinen Angaben zufolge keine Antworten mehr und hat rechtliche Schritte eingeleitet. Für den Konzern, der sich in den letzten Jahren vor allem durch Ladegeräte und Powerbanks einen guten Ruf als Zubehörlieferant aufgebaute, hat das Verhalten seiner Kameras jetzt schon Folgen: Der große Youtube-Kanal Linus Tech Tipps hat die Zusammenarbeit mit Anker und seinen Töchtern eingestellt.
(nie)
