Anker-Tochter massiv in der Kritik
Live-Video von eufy Sicherheitskameras lässt sich unverschlüsselt abrufen
Anker beziehungsweise deren Smarthome-Tochter eufy hat gerade zwei riesige Probleme. Zum einen lassen sich die Live-Videos der eufy-Kameras entgegen den Versprechungen des Herstellers auch unverschlüsselt abrufen. Dazu kommt, dass der Hersteller anstatt hier offen zu kommunizieren versucht hat, die Angelegenheit zu vertuschen.
Bereits in der vergangenen Woche wurden erste Vorwürfe laut, dass die Videoaufzeichnungen der eufy-Kameras anders als vom Hersteller kommuniziert zum Teil auch unverschlüsselt auf dessen Servern gespeichert werden. Konkret stellte sich dabei heraus, dass zwar die Videoaufzeichnungen an sich standardmäßig verschlüsselt würden, nicht jedoch jene kurzen Videoclips, die man gemeinsam mit der Benachrichtigung über eine Aktivität erhält, also beispielsweise wenn ein Bewegungsmelder eine Person erkennt oder der Knopf der Videotürklingel des Herstellers gedrückt wird.
Ah well, the cats out the bag now… so may as well tell you.
You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.
Please don't ask for a PoC – I can't release this one.
Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX
— Paul Moore (@Paul_Reviews) November 25, 2022
Während der Hersteller diesbezüglich noch nach einer Erklärung suchte und von einem Missverständnis sprach, hat der Sicherheitsforscher Paul Moore nun jedoch den eigentlichen Hammer nachgereicht. Seinen Aussagen zufolge lassen sich die Streams beliebiger eufy-Kameras ohne Authentifizierung und Verschlüsselung ganz einfach über gewöhnliche Video-Apps wie den VLC-Player abrufen. Einzig lässt sich hier beschwichtigend erwähnen, dass man wohl nur mit entsprechendem Aufwand an die hierfür benötigten Adressen gelangt. Generell legt diese Entdeckung allerdings eine gravierende Schwachstelle im System der Anker-Tochter offen.
eufy streitet die Schwachstelle zunächst pauschal ab
Vom Magazin The Verge auf diese Tatsache angesprochen, hat ein Anker-Sprecher denkbar schlecht reagiert und diesen Sachverhalt rundum abgestritten. Der PR-Manager des Unternehmens wird mit den Worten zitiert, „Ich kann bestätigen, dass es nicht möglich ist, einen Stream zu starten und Live-Aufnahmen mit einem Drittanbieter-Player wie VLC anzusehen“. Allerdings konnte The Verge die dem entgegenstehenden Aussagen des Sicherheitsforschers im Test mit eigenen Kameras bestätigen.
Als gute Nachricht für Anwender sei allerdings zu erwähnen, dass es zuvor nötig war, sich mit validen Anmeldedaten bei eufy zu authentifizieren, um die für die VLC-Wiedergabe benötigte Adresse zu erlangen. Auch sei ein entsprechender Zugriff nur dann möglich, wenn die Kamera gerade aktiv ist, also sie beispielsweise durch eine Bewegung oder einen Eingriff des Besitzers aufgeweckt wurde.
Aussagen zur Produktsicherheit auf der eufy-Webseite
Unbefugter Zugriff kann nicht ausgeschlossen werden
Es könne jedoch nicht ausgeschlossen werden, dass sich Unbefugte auf andere Weise Zugriff zu den unverschlüsselten Kamera-Streams verschaffen, da die Adresse zu großen Teilen aus einer kodierten Variante der Seriennummer der Geräte und Anhängseln bestehen, die sich durch Automatismen wie einen sogenannten Brute-Force-Angriff herausfinden lassen.
Als weiteren validen Kritikpunkt nennt ein Sicherheitsforscher die Tatsache, dass die Adresse des VLC-Streams angesichts der darin enthaltenen Seriennummer fest mit der Kamera verknüpft sei und ein Verkäufer somit zumindest theoretisch die Möglichkeit hat, weiter auf die Live-Aufnahmen der Kameras zuzugreifen.
Während wir noch auf eine umfassende Stellungnahme von eufy beziehungsweise Anker warten, lautet das Zwischenfazit der Sicherheitsforscher, dass es zwar schlimmer sein könne, der Hersteller seine Sicherheitsversprechen aber nicht annähernd einhält.
Besitzer von eufy-Kameras, die HomeKit Secure Video unterstützen und angesichts dieser Meldungen beunruhigt sind, sollten auf die von eufy angebotenen Zusatzfunktionen verzichten und ihre Geräte ausschließlich als HomeKit-Kameras verwenden. Dann bleiben die Server der Anker-Tochter außen vor.
Gut, dass meine Cams nicht über die App von außen erreichbar sind und ausschließlich mit HomeKit laufen.
Genau so muss man das scheinbar konfigurieren:
Es gibt noch eine Homebase – wenn diese Zugriff auf die Kameras hat, muss man auch für diese den Internetzugang sperren.
Eine gute Idee ist vielleicht ein IoT VLAN einzurichten, dass strenge Regeln etabliert.
Für Updates muss man dann kurz die Geräte ins Internet lassen – mache Geräte können auch vom Handy aus das Update erhalten (nicht bei eufy). Hierzu könnte man auch einen HTTP Proxy aufbauen, was aber schon mehr an Aufwand bedeuten würde.
Für die Cams den Internetzugang zu sperren funktioniert nicht. Ich habe hier zwei Eufy Cams die komplett den Dienst verweigern, wenn man sie keinen Internetzugriff haben (In der FritzBox gesperrt). Sie brauchen Kontakt zum Eufy Server um zu laufen.
Ich würde gerne nur auf meiner DiskStation aufzeichnen. Aber geht rein lokal scheinbar nicht.
Hier werden die Cams nur im Urlaub verwendet. Da stört es mich nicht, wenn Bilder vom leeren Haus auch bei Eufy landen. Aber als permanente Überwachungs-Cam wären sie damit für mich raus.
Wie gesagt, rein HomeKit funktioniert, wenn sie in der Fritte gesperrt sind.
Ich habe hier 7 Stk im Einsatz, funktioniert Problemlos.
Leider kann man die mit Homekit noch nicht steuern. (Drehen/Hoch/Runter)
Das Problem ist, dass in der eufy App, das streamen über die eufy App ausgestellt habe, trotzdem streamt es über die eufy App. Bei den 2c pro kann man sie leider nicht aus der eufy App entfernen, sonst verschwinden sie auch in HomeKit.
Danke für die Info. Dann hatte ich ja den richtigen Riecher, als ich mich kürzlich dazu entschieden habe, von der eufy-Lösung auf Homekit zu wechseln. Beides kostet rund 10€ monatlich, aber bei Apple hat man zu der Videospeicherung noch 2 TB iCloud dabei. Und – wenn man es entsprechend einstellt – schalten sich die Kameras automatisch beim Verlassen der Wohnung ein und auf dem Rückweg wieder aus.
Die Kameras halten sich scheinbar nicht an die Homekit Secure Video Regeln und bauen neben der Homekit Verbindung einen weitere Verbindung nach draußen auf. Es hat sich gezeigt, dass diese Verbindung zu allem Übel nicht einmal durch ein Kennwort geschützt ist.
Aus eigener Erfahrung kann ich dir sagen, dass die Polizei sich bei einer Hausdurchsuchung eine Spiegelung aller Daten, inklusive Video Aufzeichnungen mit einem Klick sichert. Deswegen machen wir es nur noch mit einem eigenen NAS von Synology. Es ist erschreckend, wenn die Regierung so einfach alles sehen kann, was im Haus passiert.
bei dieser Hausdurchsuchung ging es um eine EMail in dem ein Beamter Bekleidung wurde.
@Paul hä?
Warum beleidigst du Leite?
Was habt ihr bloß alle zu verbergen? Steht die Kamera im geheimen Hinterzimmer wo die Schwarzgeld Zählmaschine läuft?
In jeder Bahn/Bus/Innenstadt/Bank/Tanke wird gefilmt und niemand weiß wo das gespeichert wird oder wer in welchem Land zuguckt….
Na ja in meinen eigenen 4-Wänden würde ich das zumindest nicht wollen!
Wer weiß was man mal alles schmutziges auf dem Sofa treibt, damit möchte ich nicht kurze Zeit später im Netz vertreten sein!
Consoleman, genau so eine Einstellung von Bürgern führt zu Systemen wie in China. Einfach zum kotzen deine Einstellung. Man muss Nichthaben zu verbergen haben um ein Sein Recht auf Privatheit zu nutzen… Wo kommt dieser Müll mit Was hast du zu verbergen eigentlich her? CDU?
@Jungejunge Was hat die CDZ damit zu tun? Was bist du denn für einer?
CDU
Bei uns ist zB eine Kamera im Wohnzimmer – die sollte nicht für jeden ständig erreichbar sein.
Überwachungskameras / Alarmanlage sind leider notwendig seit es hier immer mehr Einbrüche/Autoaufbrüche etc gibt.
Bei einem Gerichtstermin musste ich feststellen, dass unser Rechtssystem einen Fehler hat – wenn man in einer Strafsache zur Verhandlung nicht erscheint, dann wird man in Abwesenheit verurteilt, jedoch verjährt die Strafe. Der Täter hat sich einfach so lange im Ausland aufgehalten und ist dann wieder eingereist. Ich hatte den Ärger und den Schaden.
Blödes Argument, Consoleman, echt!
Ich habe nichts zu verbergen – soll ich meine Kreditkarten-Daten hier posten?
Ich hab eine Menge zu verbergen
Hört sich alles nicht gut an aber ich habe nach guten Kameras für HomeKit gesucht und nichts gefunden.
Sollte per W-Lan und mit einem Akku laufen.
Danke Olli
Wie bekomme ich denn die Indoor cams aus der eufy ab gelöscht, ohne sie aus HomeKit zu schmeißen?
Ein How to wäre super!
Uns ist aufgefallen das der stream in der eufy App, wir nutzen sie vorrangig als Babyfon, stabiler läuft als im HK.
Einfach die Kameras aus der eufy App löschen und das reicht? Oder kann man diese drin lassen aber das streamen/aufzeichnen abschalten?
Also ich habe jetzt mal geprüft und alles in eufy deaktiviert: Geräusch- & Bewegungserkennung, und alle Audio und Videoeinstellungen deaktiviert in der eufy App.
Apple HK läuft weiter.
Interessant: für die Bewegungserkennung in HK benötigt es nicht die aktive Zuschaltung in der eufy App.
Damit aber Ton im HK ausgegeben und aufgezeichnet werden kann muss dies auch in der eufy App aktiviert sein.
Reicht das jetzt? Oder was fehlt noch?
Es lässt sich nicht abstreiten, dass es ein Problem ist welches so schnell wie möglich behoben werden sollte. Der Aufwand um die Lücke auch zu nutzen ist für wen genau interessant? Die Eufy Lösungen sind mit Sicherheit zum Großteil im privaten Bereich im Einsatz, denn für Unternehmen gibt es wesentlich professionellere Ansätze bzw. Lösungen.
Viel schlimmer finde ich tatsächlich die Kommunikation seitens Anker/Eufy. Das geht gar nicht und kostet Vertrauen.
Ich bin selbst übrigens auch betroffen, wir haben mehrere Eufy Cam 2 Pro samt Basis im Einsatz, unternehmen werde ich, weil privater Bereich, nichts. Vielleicht sehe ich das zu locker, wer weiss…
Lang lebe eero. Mit HomeKit Secure Router einfach die eufy cams auf das lokale Netzwerk beschränkt :-)
Geht das mit einer Fritzbox auch?
Ja, einfach den Zugriff nach außen mit einer Kindersicherung sperren.
Ist nicht dasselbe
Also bitte, lasst den Xi Jinping doch mal die Freiheit die Videostreams auch anzuzapfen. Wer billig kauft, kauft oft unsicher.
Ein OT-Frage zu Kamera: Ich suche eine Kamera für außen. Strom (230V) ist direkt vorhanden, WLAN auch, allerdings kein Cat-Kabel. Hat jemand Kamerastipps mit HKSV?
Königsdisziplin wäre, wenn sich bestimmte Teile des Kamerabildes schwärzen lassen würden. Ich bin unsicher, ob ich alle Kameras so ausgerichtet bekomme, dass keine Straße etc mit drauf ist. Danke euch!
Üble Sache, das! Viele, Ubiquiti, Synology, Anker etc. haben bei Sicherheitsschlampereien schon so unschön reagiert. Nicht nur in der IT ist das heute eher die Regel……ich sage nur Dieselgate.
Allerdings ist es auch ein großes Problem, dass in so einer Situation sofort ein total entfesseltet ShitStorm losbricht, aus dem eine Firma kaum unbeschadet heraus kommt.
Ich habe einige Eufy mit Basis im Einsatz, HomeKit nutze ich nicht.
Überwacht werden Bereiche im das Haus herum. Da sieht man nichts, was mich stören würde.
Als Nutzer vernetzter Geräte, zumal mit Mikro und Kamera, bin ich mir allerdings bewusst, es kann evt. jemand zugucken/hören. Das schließt auch den Besuch/Geschäftspartner ein, der „nur“ die Sprachnotiz aktiviert hat und das iPhone liegt harmlos auf dem Schreibtisch rum.