ifun.de — Apple News seit 2001. 35 346 Artikel

Anker-Tochter massiv in der Kritik

Live-Video von eufy Sicherheitskameras lässt sich unverschlüsselt abrufen

47 Kommentare 47

Anker beziehungsweise deren Smarthome-Tochter eufy hat gerade zwei riesige Probleme. Zum einen lassen sich die Live-Videos der eufy-Kameras entgegen den Versprechungen des Herstellers auch unverschlüsselt abrufen. Dazu kommt, dass der Hersteller anstatt hier offen zu kommunizieren versucht hat, die Angelegenheit zu vertuschen.

Eufy Sicherheit

Bereits in der vergangenen Woche wurden erste Vorwürfe laut, dass die Videoaufzeichnungen der eufy-Kameras anders als vom Hersteller kommuniziert zum Teil auch unverschlüsselt auf dessen Servern gespeichert werden. Konkret stellte sich dabei heraus, dass zwar die Videoaufzeichnungen an sich standardmäßig verschlüsselt würden, nicht jedoch jene kurzen Videoclips, die man gemeinsam mit der Benachrichtigung über eine Aktivität erhält, also beispielsweise wenn ein Bewegungsmelder eine Person erkennt oder der Knopf der Videotürklingel des Herstellers gedrückt wird.

Während der Hersteller diesbezüglich noch nach einer Erklärung suchte und von einem Missverständnis sprach, hat der Sicherheitsforscher Paul Moore nun jedoch den eigentlichen Hammer nachgereicht. Seinen Aussagen zufolge lassen sich die Streams beliebiger eufy-Kameras ohne Authentifizierung und Verschlüsselung ganz einfach über gewöhnliche Video-Apps wie den VLC-Player abrufen. Einzig lässt sich hier beschwichtigend erwähnen, dass man wohl nur mit entsprechendem Aufwand an die hierfür benötigten Adressen gelangt. Generell legt diese Entdeckung allerdings eine gravierende Schwachstelle im System der Anker-Tochter offen.

eufy streitet die Schwachstelle zunächst pauschal ab

Vom Magazin The Verge auf diese Tatsache angesprochen, hat ein Anker-Sprecher denkbar schlecht reagiert und diesen Sachverhalt rundum abgestritten. Der PR-Manager des Unternehmens wird mit den Worten zitiert, „Ich kann bestätigen, dass es nicht möglich ist, einen Stream zu starten und Live-Aufnahmen mit einem Drittanbieter-Player wie VLC anzusehen“. Allerdings konnte The Verge die dem entgegenstehenden Aussagen des Sicherheitsforschers im Test mit eigenen Kameras bestätigen.

Als gute Nachricht für Anwender sei allerdings zu erwähnen, dass es zuvor nötig war, sich mit validen Anmeldedaten bei eufy zu authentifizieren, um die für die VLC-Wiedergabe benötigte Adresse zu erlangen. Auch sei ein entsprechender Zugriff nur dann möglich, wenn die Kamera gerade aktiv ist, also sie beispielsweise durch eine Bewegung oder einen Eingriff des Besitzers aufgeweckt wurde.

Eufy Sicherheitsversprechen

Aussagen zur Produktsicherheit auf der eufy-Webseite

Unbefugter Zugriff kann nicht ausgeschlossen werden

Es könne jedoch nicht ausgeschlossen werden, dass sich Unbefugte auf andere Weise Zugriff zu den unverschlüsselten Kamera-Streams verschaffen, da die Adresse zu großen Teilen aus einer kodierten Variante der Seriennummer der Geräte und Anhängseln bestehen, die sich durch Automatismen wie einen sogenannten Brute-Force-Angriff herausfinden lassen.

Als weiteren validen Kritikpunkt nennt ein Sicherheitsforscher die Tatsache, dass die Adresse des VLC-Streams angesichts der darin enthaltenen Seriennummer fest mit der Kamera verknüpft sei und ein Verkäufer somit zumindest theoretisch die Möglichkeit hat, weiter auf die Live-Aufnahmen der Kameras zuzugreifen.

Während wir noch auf eine umfassende Stellungnahme von eufy beziehungsweise Anker warten, lautet das Zwischenfazit der Sicherheitsforscher, dass es zwar schlimmer sein könne, der Hersteller seine Sicherheitsversprechen aber nicht annähernd einhält.

Besitzer von eufy-Kameras, die HomeKit Secure Video unterstützen und angesichts dieser Meldungen beunruhigt sind, sollten auf die von eufy angebotenen Zusatzfunktionen verzichten und ihre Geräte ausschließlich als HomeKit-Kameras verwenden. Dann bleiben die Server der Anker-Tochter außen vor.

01. Dez 2022 um 09:11 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    47 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    47 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 35346 Artikel in den vergangenen 7776 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven