Fremde Video-Feeds in der App
Eufy Überwachungskameras: Datenleck durch „Bug“ im Server [Update]
Update von 20:41 Uhr: Inzwischen hat Eufy die beobachteten Probleme kommentiert und räumt ein, dass ein nicht näher spezifizierter Software-Fehler im Anschluss an das letzte Server-Upgrade aufgetreten ist und zur Freigabe falscher Videostreams geführt hat. Dieser wurde binnen 40 Minuten entdeckt und eine Stunde später beseitigt.
Der Konzern empfiehlt allen Anwendern ihre Kameras kurz vom Strom zu trennen und sich in der Eufy-App einmal aus und anschließend wieder einzuloggen.
Original-Eintrag von 14:19 Uhr: Die auf Überwachungskameras und HomeKit-kompatible Sicherheitssysteme spezialisierte Anker-Tochter Eufy hat offenbar mit einem nicht unerheblichen Datenleck zu kämpfen. Dies geht aus den Berichten mehrere Anwendungen hervor, die sowohl im offiziellen Support-Forum des Herstellers als auch auf dem Community-Portal reddit.com veröffentlicht worden.
Dort geben mehrere Nutzer an, über die offizielle Mobil-Anwendung des Anbieters nicht mehr auf Video-Streams der eigenen Kameras zugegriffen, sondern das Videosignal fremder Überwachungskameras ausgespielt bekommen zu haben.
Etliche Nutzer berichten von ähnlichen Erfahrungen
Aktuell scheint die fehlerhafte Account-Zuordnung ausschließlich Nutzer zu betreffen, die die offizielle Hersteller-Anwendung zum Zugriff auf die eigenen Kameras benutzen. Anwender, die ihre Kameras im Apple Smart-Home-System HomeKit eingebunden haben, scheinen von der fehlerhaften Video-Ausspielung bislang verschont zu werden.
Weder Anker noch Eufy haben sich bislang zu den Anwenderberichten zu Wort gemeldet. Entsprechend gibt es derzeit weder ein Dementi noch eine offizielle Bestätigungen des Datenabgriffs.
Diese werden jetzt mit Spannung erwartet, da momentan völlig unklar ist, ob die fehlerhafte Videozuordnung einer falschen Konfiguration des Anbieters geschuldet, oder vielleicht auf das Konto eines Hacker-Angriffs geht.
Screenshots per E-Mail
Aktuell sollten Bestandskunden ihre Basisstation bzw. bei unabhängig einsetzbaren Kameras, die komplette Überwachungskamera vom netz nehmen und die Stellungnahme des Herstellers abwarten.
So berichten erste Anwender bereits davon, dass Fremde Nutzer ihnen Screenshots der Kameras an die zugehörigen E-Mail-Adressen gesendet und diese so auf den Datenabfluss aufmerksam gemacht haben:
Wir erhielten eine E-Mail von einem Fremden mit Screenshots unseres Sicherheitssystems auf seinem Telefon! Wir hatten keine Ahnung, dass andere Leute unsere Kameras sehen können. Sehr beängstigend und muss so schnell wie möglich erklärt werden.
Mit Dank an Christian!
Das ist genau der Grund, warum ich meine drei Eufy Cams nicht mehr verwende. Dass die Cams eine Internetverbindung benötigen um ganz bequem per Eufy-App über das Internet auf diese zugreifen zu können ist klar. Allerdings will ich die Cams rein lokal verwenden und die Aufzeichungen zu meinem NAS streamen. Untersagt man Cams aber den Internetzugriff (z.B. in der FritzBox den Zugriff für dieses Gerät sperren), kann man sie gar nicht mehr nutzen. Sie versagen dann komplett den Dienst. Die Nutzung des Onlinedienstes ist also Pflicht. Um zu Hause von Raum A auf die Cam in Raum B zuzugreifen, brauche ich die Bilder aber nicht auf einem fremden Server. Für mich kommt daher der Einsatz nicht mehr in Frage.
Was für Alternativen gibt es um Aufzeichnungen auf einem NAS zu speichern?
HomeKit/Homebridge und vor allem notifications sind halt schon ein Muss.
Synology Surveillance Station.
Synology hat auf der eigenen Webseite eine schier endlose Liste mit konpatiblen Kameras.
Das Ding ist genial. Von nur lokal über nur für bestimmte IPs bis hin zu regionalem oder gar globalem Zugriff ist alles frei konfigurierbar, die Daten verlassen nie die eigene Hardware und fast alles ist konfigurierbar.
Selbstverständlich inklusive mobiler und Web-App.
Das scheint aber nicht bei allen Eufy-Cams so zu sein.
Meine Eufy Security Indoor 2k läuft dauerhaft ohne Internetzugang. Dieser war genau 1x zum einstellen der Kamera aktiv (RTSP aktivieren).
Seitdem läuft sie, auch nach Neustarts, komplett ohne Internet.
Ich habe die Pan&Tilt Variante. Kappe ich die Internetverbindung funktioniert RTSP noch ein paar Minuten und dann ist kein Zugriff mehr möglich. Scheinbar will die Cam alle paar Minuten nach Hause telefonieren…
Ich auch. Die Security Indoor 2k ist die Pan-Tilt Kamera.
Und die tut es einwandfrei bei mir. Ich müsste mal nachschauen welche Firmware ich drauf habe denn die automatischen Updates habe ich auch direkt deaktiviert.
Oh, ich korrigiere mich, es gibt sie auch ohne Pan&Tilt.
Egal, ich verwende auch die Pan&Tilt Version.
Einschränkungen durch Internetverbot und nur RTSP sind:
Meine Systemversion ist: 2.0.9.6
Jap, hier funzt auch alles (im Heimnetz auch die Eufy-App, aber die benutze ich nicht, ich nutze sowieso nur HK). FW ist 2.0.9.3 Indoor Cam Pan&Tilt
Die Eufy App funktioniert bei mir im WLAN nicht. Sobald ich der Kamera den Internetzugriff entziehe ist die Eufy-App tot.
Aber die Cam geht prima ohne. Und was ich super finde: Auch die Bewegungsverfolgung funktioniert lokal!
Was ist RTSP und wo kann man das einstellen?
Wird nicht richtiger nur weil es 1000mal wiederholt wird.
Meine Eufys laufen in HomeKit im eigenen CCTV VLAN. Und CCTV Richtung WAN ist nicht erlaubt. Trotzdem funktionieren diese prächtig in HomeKit
Mit einem HomeKit Router kannst du die Kommunikation nach aussen verhindern
Ich benutzte meine Eufy cams ausschließlich mit HomeKit Secure Video. Die eufy App benutzte ich nicht. Dann bin ich doch sicher, oder?
Würde mich auch interessieren! Gleiches setup bei mir ^^
Ich denke nicht. Scheinbar funken die Cams immer nach Hause (s.o.) Was genau dann auf dem Eufy Server landet weiß natürlich auch nur Eufy.
Soweit ich weiß ist das aber kein spezielles Problem von Eufy sondern wird von vielen Herstellern so gemacht. Ich habe noch keinen gleichwertigen Ersatz gefunden bei denen sich die Cams rein lokal nutzen lassen.
Da funkt nichts zu Dufy, hat man HomeKit Secure Video. Mach den Leuten keine Panik.
Wenn man HomeKit Secure Video eingerichtet hat, sind die Kameras ja noch immer in der Eufy App sichtbar und dem dort angelegten Accoung zugeordnet. Man kann von jedem Gerät aus, an dem man sich mit dem Account anmeldet, sofort auf die Kameras zugreifen. Secure Video schaltet also den „normalen“ Hersteller-Zugriff nicht aus. Bei Netatmo kann man zum Beispiel trotz Secure Video auch über deren Webseite auf die Kameras zugreifen.
Was man probieren könnte wäre nach der Einrichtung in HomeKit die Kameras wieder aus dem Account zu löschen, aber dann kann man auch keine Firmware Updates mehr installieren. Einfachste Lösung, keine Kameras jeglicher Art in sensible Bereiche stellen. Um die Garageneinfahrt zu überwachen sind so Kameras ja durchaus brauchbar.
Same here…
Nach der HomeKit Einrichtung den Internetzugriff für die Kameras im Router blocken, funktioniert bei mir. Checke mit der eufy App nur ab und zu nach neuer Firmware – dafür kurz Internet erlauben.
Ich konnte von alledem noch nichts beobachten.
Danke für die Information. Bist du denn qualifiziert, solche sicherheitstechnischen Analysen vorzunehmen oder bist du einfach Endanwender, der mitteilen wollte, dass er thematisch fremd ist?
;-) zu geil
@expert user : Danke für deinen doch so wundervoll hirnrissigen Kommentar, was ist falsch daran das er schreibt, das er keine Probleme hat ?
Ich stelle mir gerade die Frage worin du Experte sein sollst, in der Kommunikation definitiv schon mal nicht, ich vermute das du Experte darin bist an dir herum zu spielen.
klar, die ganzen „Whatsapp“-Benutzer haben auch keine „Probleme“, weil sie zu eingeschränkt sind hinter die Kulissen zu schauen.
Beleidigend zu werden macht es gerade nicht besser.
Natürlich wird nicht jeder betroffen sein und immer alle Phänomene beobachten können. Jedoch hat den Server Fehler, auf dem im Artikel hingewiesen wird, Auswirkungen gehabt, wie auch von Eufy bestätigt.
Nee er meinte bestimmt, er hat keine cams und könnte deshalb auch keine fremden streams beobachten.
Ich habe der Basisstation im Router den Internetzugriff verweigert und betreibe die Kameras ausschließlich über Homekit.
Ich frage mich wozu man sowas zuhause braucht.
Und ich stelle Dein Kommentar einfach mal in Frage…
Spycam ;)
Wenn mal wieder eine Spinne in den smarten Rauchmelder gekrabbelt ist, kann man schauen ob’s wirklich brennt. Oder im anderen Fall hat man zumindest noch ein Abschiedsvideo ;-)
Tipp: Rauchmelder spinnensicher machen. Den Herzinfarkt nachts brauche ich nicht mehr. Jetzt hab och keine Fehlalarme mehr.
Bei uns ist sie als Baby-Kamera im Einsatz.
Ich dachte eigentlich, dass z.B. die Doorbell ohne Internetzugang funktionieren würde, immerhin wirbt Eufy damit, dass die Daten nur auf der Homebase liegen und keine Cloud verwendet wird. Aber ohne Internet funktioniert das nicht. Oder habe ich was falsch interpretiert?
Ich habe das System eigentlich deswegen gekauft, weil es rein lokal laeuft (gemaess Anbieter-Info) und die Online-Abo-Variante via Cloud-Server (die ich nicht gewaehlt und auch nicht initiert habe) lediglich eine freiwillige Option darstellt.
Das Ganze laeuft mit der App fuer mich einwandfrei auch von unterwegs auf alle freigegebenen Handynummern.
Wollte eigentlich die Desktopvariante vom Laptop noch benutzen, die aber nur geht, wenn das Cloud-Server-Abo/Angebot nutzt; Sinn und Zweck hier fuer mich die Sicherstellung von Einbruchsaktivitäten sofern der Einbrecher die Homebase mitnimmt. Aber das werde ich mir nun erstmal verkneifen.
Oder sehe ich hier was falsch?
Ich eigentlich auch. Der Cloud-Zugriff ist bei mir nicht aktiv. Dennoch: Wir hatten für eine Wochen
kein Internet und selbst lokal im WLAN konnte ich nicht auf die Türklingel bzw. das Bild zugreifen, weil die Homebase offline war. Hab aber auch zu dem Zeitpunkt nicht versucht, die Homebase mal neu zu starten. Von unterwegs ging es entsprechend auch nicht.
Ich würde keine dieser Kameras an die Server des Herstellers senden lassen. Habe selbst eine Eufy Kamera im Einsatz, zum erst Einrichten wurde sie mit dem Internet verbunden, jetzt läuft sie über HomeKit und der Zugang zum Internet für die Kamera wurde über den Router direkt blockiert.
Alle Videofeeds empfange ich von unterwegs über meine HomeKit zentrale. Das funktioniert bestens. Ab und an wird die Kamera dann mit dem Internet verbunden, Updates werden installiert und dann wird der Internetzugang wieder blockiert.
+1 – Exakt genauso bei mir
Ich habe bislang keine Eufy Kamera, plane jedoch, in Kürze eine zu kaufen.
Nur für mein Verständnis: wenn ich den Internetzugriff der Kamera unterbinde, wie verbindet sie sich dann mit HomeKit?
Über Bluetooth/ WiFi? Ich hätte gedacht, dass sie dafür eine aktive Internetverbindung braucht. :-)
Du sperrst für die Cam nur den Internetzugang nach draußen. Sie bleibt weiterhin mit dem WLAN verbunden. Da HomeKit lokal funktioniert, verbindet sich die HomeKit Zentrale mit der Kamera über das Lokale Netzwerk. WLAN Verbindung ist nicht gleich Internetverbindung.
Danke dir für die Erklärung!
Super. Danke für den Tipp! Soweit habe ich gar nicht gedacht. Habe auch gleich den Internetzugang der Cams gesperrt. In der Home-App funktionieren sie weiterhin einwandfrei.
Nutzt Du normal HomeKit oder das HomeKit Security?
Wenn das geht wäre das ja ein Workaround.
Ich nutze natürlich HomeKit Secure Video :-)
Mit einem NAS funzt das auch super und ohne externe Server.
Bewegungserkennung und Alarme über das NAS eingerichtet. Kamera-Client (in meinem Fall QNAP „QVR Pro“) auf dem Desktop und dem iPhone installiert – fertig.
Die iPhone-App zeigt in Echtzeit alle Kameras gleichzeitig, oder auch einzeln an – ganz so, wie man es im Desktop-Client definiert hat.
Vorteil: Es läuft weder über die Eufy-, noch über die Apple-Server und alles ist flexiebler in der Einstellung.
Nachteil: Es ist kaum billiger als HomeKit Secure, da das NAS bei Daueraufzeichnung und Auswertung von 5 Kameras nicht mehr in den Standby geht. Der Stromverbrauch steigt dabei erheblich!
Der Stromverbrauch eines NAS ist vernachlässigbar. Gerade dann, wenn man es nicht nur für die Videoüberwachung, sondern auch für dir zentrale Daenablage, als Mini-Server mit Docker und/oder als Smarthome-Zentrale verwendet oder sich damit gar einen eigenen Streaming-Dienst bastelt. :)
Der zusätzliche Stromverbrauch ist abhängig von der Anzahl, der Länge und der Qualität der Streams und nicht zuletzt von deren Auswertung (Bewegungserkennung, Gesichtszuornung usw.).
Fordert man das NAS sowieso ständig, ist der Unterschied gering. Gegenüber dem Standby-Betrieb ist bei mir der Stromverbrauch jedoch um über 100 € / Jahr gestiegen. Dies hatte ich zuvor gemessen und hat sich mit den Folgerechnungen des Stromanbieters bestätigt.
Wer sowas in privaten Räumen installiert, dem kann man auch nicht mehr helfen. Man sollte sich vielleicht einmal zuerst im klaren sein wie diese Technik funktioniert.
Und das ist nicht die Entscheidung jedes Einzelnen!
Ich bleibe konservativ ohne Technik, weil sich das nicht durchsetzt?
Klingt fast nach Aluhut trägerei…
Wie sperrt man denn den Internetzugang für diese Kameras?
Über eine Funktion des Routers. Diese haben nicht alle. Gerade wer Router des Internet Anbieters nutzt schau eher in die Röhre.
Wow. Genau wegen sowas habe ich meinen Eufycams den Internetzugang abgeklemmt und die dürfen nur per Homekit Secure Video Kommunizieren.
Und wie geht das genau ?
Ich kann hellsehen!!!!!!!!!!!!!!!
Konnte natürlich jeder, der etwas kreativ ist und der billigtechnik aus dem Land der Bespitzelung nicht so recht traut. Ich habe mir lieber teure Kameras aus Deutschland geholt, obwohl die Preiskarotte bei iFun gefühlt tausendmal vor meiner Nase hing.
Hat sich also ausgezahlt standhaft zu sein. Ich hab aber echt das 10fache hingeblättert.
Aber, dass das intimstes Leben meiner Familie unsicher ist, kann ich nicht verantworten.
Und welche Kamera aus Deutscland setzt Du ein !
Nachdem ich mir mal für HomeKit eine Koogeek Steckdose gekauft habe und ich irgendwann die App installieren musste, habe ich entschieden nichts mehr von solchen Herstellern zu kaufen.
Die Koogeek App war schon der Horror.
Mag ja sein, dass Bosch oder Netatmo auch in China produziert, aber die App und sonstige Infrastruktur steht oder kommt wenigstens aus Europa. Dafür zahle ich gerne den Aufpreis.
30€ statt 150€ kann mir auch irgendwie seltsam vor.
Auch wenn der Server in Europa steht schützt das m.E. nicht, wenn ein Programmierer Mist baut. Und wenn die Kamera nur über HomeKit betrieben wird, stehen die Server auch wieder außerhalb Europas.
Schöne neue Welt!
Eufy Web-Auftritt:
„Privat ist privat.
Ihre Privatsphäre ist uns wichtig. Deshalb werden alle Aufzeichnungen mit fortschrittlicher und sicherer Datenverschlüsselung aufbewahrt. Zugriff auf diese Daten haben nur Sie und sonst niemand. Die Sicherheit ihrer Familie ist unsere Priorität.“
Oh nein! Sollten das im Endeffekt nur Werbetexte gewesen sein?
Es wird garnicht verschlüsselt?
Ist es denn dann überhaupt noch DSGVO konform oder entspricht sonstigen Datenschutzbestimmungen?
Eine offizielle Stellungnahme findet sich schnell im Eufy-Forum:
Dear user,
The issue was due to a bug in one of our servers.
This was quickly resolved by our engineering team and our customer service team will continue to assist those affected.
We recommend all users to:
1.Please unplug and then reconnect the home base.
2.Log out of the eufy security app and log in again.
Contact [email protected] for enquiries.
Hat bei mir nicht geholfen.
Die eufy App sagt die cam ist offline und in der Home App dreht sich nur das Rad.
Gleiches Spiel bei mir, Kamera ist offline. Hab sie schon neu eingebunden, ab und angemeldet, kein Erfolg ;-(
Es sollen keine europäischen Kunden und ansonsten nur 0,001% aller Kunden betroffen gewesen sein. Dauer der Störung unter einer Stunde.
Wenn Eufy das Problem so schnell erkannt und behoben haben will, wieso wurde es nicht proaktiv kommuniziert?
Soweit ich weiß, weil chinesische Firmen leider nicht unbedingt für schnelle und proaktive Kommunikation bekannt sind.
Kennt einer das Problem mit den Homebases? Unsere leuchtet seit mehreren Tagen nur noch Rot. Nach einem Neustart erst mal weiß. Internet über WLAN oder Ethernetkabel mit 2 Netzwerken getestet. Aktuell bin ich mit meinem Latein am Ende.
Ja, hatte ich auch. Homebase wurde von Eufy getauscht… alles andere hat nichts gebracht
Die 2 Jahre sind leider schon seit März rum. Vermutlich muss ich dann eine neue kaufen, wenn es sich nicht fast von selbst lösen wird.
Vielleicht die maximale Anzahl an Zuschauern überschritten?
Bisher haben nur 4 Personen Zugriff, damit gab es kein Problem seit letztem Sommer. Liegt also auch daran nicht.
Vier plus die anonymen aus dem Netz ;-)
Speicher voll? Was sagt denn die Anleitung zur roten Leuchte?
Die Karte hatte noch 1gb frei. Das reicht für etliche Aufnahmen und das war in den Jahren seit 2019 kein Problem gewesen.
Eine Anleitung findet sich im Netz nicht. Nur den Quick Startguide, der hilft aber wenig dabei das Problem zu lösen. Mal sehen was der Support dazu schreiben wird.
Den Support empfand ich bislang allerdings als sehr gut, kundenfreundlich, kulant und schnell.
Genau deswegen kommt mir der ganze SmartHomeKit-Kram nicht in mein Heim. Sei es jetzt nur dieser Anbieter zu sein, aber bei allen anderen arbeiten auch „nur“ Programmierer, die auch Fehler machen (können). Und wir wissen auch nicht, was unbemerkt schief läuft …
Interessanter Ansatz, würde aber doch auch bedeuten dass man kein Auto mehr fahren dürfte, Flugzeuge nutzen wäre auch problematisch und was ist mit Banking?
Ach so, vor einer OP unbedingt das richtige Bein vorher mit Kugelschreiber ankreuzen und beschriften (Dieses Bein hier), wer weiß was sonst passiert während der Narkose.
Ironie off. :-)
So als Info: die zu operierende Seite wird tatsächlich markiert mit Stift ;-)
Hehe, okay da war die Realität schneller. :-))
Oder einfach Kameras von professionellen Anbietern kaufen wie HIKVISION oder Axis!
Axis ist da, was cybersecurity angeht ein Musterbeispiel, allerdings eben wesentlich teurer ;-) und kann NOCH kein HomeKit, da sie alles selbst bieten (App, PC Software…)
Guter Tipp, aber ich glaube die hier vertretene Zielgruppe hat sich die Eufy Cams gerade wegen der smarten Nutzung und der Einbindung ins HomeKit Setup gekauft. Bei mir war es jedenfalls so. :-)
Also wer Kameras als Alternative anbietet welche weniger können aber 15fach teurer sind…
Ich fürchte du kennst die Zielgruppe nicht.
Davon mal abgesehen, das sie deutlich mehr können in bestimmen Bereichen als die hier genannte , sollte sich trotzdem die Zielgruppe Gedanken über ihre Datenhoheit/ Datensicherheit haben. ICH, könnte auf eine winzige Funktion für diesen Vorteil verzichten…. aber das sieht jeder anders ;-)
Ja, die können Onvif. Letztlich auch nur RTSP. Das können die Eufys auch. Sogar rein lokal.
Meine Eufys haben nämlich keinen Internetzugang. Und das aus gutem Grund.
Ja, im Arbeitsleben nehme ich auch Axis. Aber privat kaufe ich sicher keine Kamera für 500+€.
Da tun es die Eufys und Xiaomis mit Custom Firmware sehr gut.
Und bei der Eufy braucht’s die Custom Firmware ja nichtmal. Die kann RTSP von Haus aus.
Cool wäre eine Anleitung von iFun – um zu zeigen wie die Cameras auch wirklich nur über HomeKit laufen und nicht über Eufy welchen man nicht trauen kann wie man sieht.
Stimme ich dir zu
Für alle User einer FRITZ!Box ist das ohnehin kein Thema, solange der Bridge der Internetzugriff entzogen wurde oder?
Dann nutzt man das Teil gänzlich offline (sofern eben gewünscht)
Will nur mal testen ob man via DynDNS dann noch ne Einwahl und Zugriff auf die Oberfläche hinbekommt :)