Live-Video von eufy Sicherheitskameras lässt sich unverschlüsselt abrufen

Anker beziehungsweise deren Smarthome-Tochter eufy hat gerade zwei riesige Probleme. Zum einen lassen sich die Live-Videos der eufy-Kameras entgegen den Versprechungen des Herstellers auch unverschlüsselt abrufen. Dazu kommt, dass der Hersteller anstatt hier offen zu kommunizieren versucht hat, die Angelegenheit zu vertuschen.

Bereits in der vergangenen Woche wurden erste Vorwürfe laut, dass die Videoaufzeichnungen der eufy-Kameras anders als vom Hersteller kommuniziert zum Teil auch unverschlüsselt auf dessen Servern gespeichert werden. Konkret stellte sich dabei heraus, dass zwar die Videoaufzeichnungen an sich standardmäßig verschlüsselt würden, nicht jedoch jene kurzen Videoclips, die man gemeinsam mit der Benachrichtigung über eine Aktivität erhält, also beispielsweise wenn ein Bewegungsmelder eine Person erkennt oder der Knopf der Videotürklingel des Herstellers gedrückt wird.

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC – I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

Während der Hersteller diesbezüglich noch nach einer Erklärung suchte und von einem Missverständnis sprach, hat der Sicherheitsforscher Paul Moore nun jedoch den eigentlichen Hammer nachgereicht. Seinen Aussagen zufolge lassen sich die Streams beliebiger eufy-Kameras ohne Authentifizierung und Verschlüsselung ganz einfach über gewöhnliche Video-Apps wie den VLC-Player abrufen. Einzig lässt sich hier beschwichtigend erwähnen, dass man wohl nur mit entsprechendem Aufwand an die hierfür benötigten Adressen gelangt. Generell legt diese Entdeckung allerdings eine gravierende Schwachstelle im System der Anker-Tochter offen.

eufy streitet die Schwachstelle zunächst pauschal ab

Vom Magazin The Verge auf diese Tatsache angesprochen, hat ein Anker-Sprecher denkbar schlecht reagiert und diesen Sachverhalt rundum abgestritten. Der PR-Manager des Unternehmens wird mit den Worten zitiert, „Ich kann bestätigen, dass es nicht möglich ist, einen Stream zu starten und Live-Aufnahmen mit einem Drittanbieter-Player wie VLC anzusehen“. Allerdings konnte The Verge die dem entgegenstehenden Aussagen des Sicherheitsforschers im Test mit eigenen Kameras bestätigen.

Als gute Nachricht für Anwender sei allerdings zu erwähnen, dass es zuvor nötig war, sich mit validen Anmeldedaten bei eufy zu authentifizieren, um die für die VLC-Wiedergabe benötigte Adresse zu erlangen. Auch sei ein entsprechender Zugriff nur dann möglich, wenn die Kamera gerade aktiv ist, also sie beispielsweise durch eine Bewegung oder einen Eingriff des Besitzers aufgeweckt wurde.

Aussagen zur Produktsicherheit auf der eufy-Webseite

Unbefugter Zugriff kann nicht ausgeschlossen werden

Es könne jedoch nicht ausgeschlossen werden, dass sich Unbefugte auf andere Weise Zugriff zu den unverschlüsselten Kamera-Streams verschaffen, da die Adresse zu großen Teilen aus einer kodierten Variante der Seriennummer der Geräte und Anhängseln bestehen, die sich durch Automatismen wie einen sogenannten Brute-Force-Angriff herausfinden lassen.

Als weiteren validen Kritikpunkt nennt ein Sicherheitsforscher die Tatsache, dass die Adresse des VLC-Streams angesichts der darin enthaltenen Seriennummer fest mit der Kamera verknüpft sei und ein Verkäufer somit zumindest theoretisch die Möglichkeit hat, weiter auf die Live-Aufnahmen der Kameras zuzugreifen.

Während wir noch auf eine umfassende Stellungnahme von eufy beziehungsweise Anker warten, lautet das Zwischenfazit der Sicherheitsforscher, dass es zwar schlimmer sein könne, der Hersteller seine Sicherheitsversprechen aber nicht annähernd einhält.

Besitzer von eufy-Kameras, die HomeKit Secure Video unterstützen und angesichts dieser Meldungen beunruhigt sind, sollten auf die von eufy angebotenen Zusatzfunktionen verzichten und ihre Geräte ausschließlich als HomeKit-Kameras verwenden. Dann bleiben die Server der Anker-Tochter außen vor.