De beelden die Eufy-camera’s maken, worden toch niet alleen offline bewaard zoals de fabrikant het beloofd. Eufy stuurt beelden en gevoelige gegevens naar servers van Amazon zonder dat gebruikers ervan op de hoogte zijn. Maar er is mogelijk nog veel meer aan de hand.
Update 07/12/2022: We hebben een Engelstalige reactie van Eufy aan dit artikel toegevoegd.
Eufy privacyproblemen
Eufy komt in nauwe schoentjes te zitten. De fabrikant van beveiligingscamera’s en videodeurbellen – en een dochterberdrijf van Anker – wordt uit verschillende hoeken ervan beschuldigd dat het de privacy van gebruikers niet beschermt zoals het belooft.
Maar laat ons even bij het begin beginnen. Eufy heeft er altijd als een van de weinige spelers in de industrie voor gekozen om videobeelden van gebruikers volledig offline te verwerken en dat in combinatie met een eigen Homebase-server voor elke klant. De meeste andere fabrikanten van beveiligingscamera’s duwen gebruikers in de richting van cloudopslag, wantdat gaat dan gepaard met inkomsten uit abonnementen. Eufy heeft ook wel zo’n abonnement, maar dat is een volledig optionele dienst.
Beelden naar de cloud verstuurd
Het is die schijnbaar privacyvriendelijke aanpak van Eufy die nu openlijk in vraag wordt gesteld. Beveiligingsconsultant Paul Moore schreef op 23 november op Twitter dat camera’s en videodeurbellen videofragmenten uploaden naar cloudservers zonder dat cloudfunctionaliteiten zijn ingesteld. Gebruikers werden er ook niet van op de hoogte gebracht. Het gaat ook nog verder dan dat, want Eufy’s camera’s sturen daarnaast gegevens over gezichtsherkenning naar servers van Amazon.
In een reactie heeft Eufy informatie in deze aantijgingen grotendeels bevestigd (via Twitter) en inmiddels heeft het in zijn iOS-app ook in kleine letters verwoord dat fragmenten inderdaad naar de cloud worden verstuurd, maar alleen als gebruikers pushmeldingen met bijbehorende thumbnails hebben aanstaan. Die kleine letters zijn ontdekt door ZDNet.
Gestreamd met VLC
Deze feiten klinken alsof ze het vertrouwen van klanten kunnen beschadigen, maar mogelijk is er nog meer aan de hand. Dezelfde Paul Moore beweert (via Twitter) samen met een andere onderzoeker dat het ook mogelijk is om vanaf de andere kant van de wereld live beelden te streamen van Eufy-camera’s via een simpele tool zoals VLC Media Player. Er is ook van encryptie geen sprake, ook al is dat ook één van de privacybeloften waar Eufy mee uitpakt.
Dit zou in principe niet mogelijk mogen zijn omdat live-beelden normaal gezien nooit je huis zouden verlaten. Toch konden redacteurs van The Verge de bevindingen alvast bevestigen. Zij hebben via de cloud en met VLC beelden van hun eigen camera’s gestreamd.
Bij het streamen via VLC gaat wel een inlogprocedure aan vooraf. Een waarbij onder meer de serienummer van je camera gebruikt wordt om toegang te krijgen tot de live beelden. Het is daarom ook niet ondenkbaar dat kwaadwillenden deze methode zouden gebruiken om toegang te krijgen tot live beelden, zonder dat Eufy-gebruikers er weet van hebben – en die sowieso al eigenlijk voor niemand toegankelijk mochten zijn via de cloud. De volledige methode om live beelden van Eufy-camera’s te streamen met VLC werd niet openbaar gemaakt.
Eufy ontkent
Er zijn gelukkig geen aanwijzingen dat er ook echt misbruik is gemaakt van deze kwetsbaarheid. Wel wijst het er mogelijk op dat Anker, het Chinese moederbedrijf van Eufy, in principe zelf toegang kan krijgen tot beelden van gebruikers, vermits er geen effectieve encryptie is. Dat klinkt op zijn minst verontrustend.
Anker heeft bij The Verge gereageerd op de aantijgingen over de cloud-streams via VLC Media Player. Het bedrijf ontkent de bevindingen. “Ik kan bevestigen dat het niet mogelijk is om een stream te beginnen en live te kijken naar beelden via een dienst van derden zoals VLC”, dat zegt Brett White, senior PR manager bij Anker.
Hieronder delen we ook een reactie die Androidworld heeft ontvangen:
“Eufy Security adamantly disagrees with the accusations levied against the company concerning the security of our products. However, we understand that the recent events may have caused concern for some users. We frequently review and test our security features and encourage feedback from the broader security industry to ensure we address all credible security vulnerabilities. If a credible vulnerability is identified, we take the necessary actions to correct it. In addition, we comply with all appropriate regulatory bodies in the markets where our products are sold. Finally, we encourage users to contact our dedicated customer support team with questions.”
Woordvoerder van Eufy
Wat denk jij over wat deze onderzoekers hebben ontdekt bij camera’s van Eufy? Maak jij je zorgen over de ontdekkingen en overweeg jij misschien om in de plaats andere camera’s in huis te halen? Laat het ons weten in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten
Een groot probleem waar ik niemand over hoor met de eufy camera’s vind ik dat je de camera beelden kunt wissen met een knop op de camera zelf.Als je namelijk de camera ontkoppeld met de knop op de camera van de homebase zijn de beelden ook weg.Het lijkt mij wel erg makkelijk voor inbrekers op deze manier om hun eigen beelden te wissen.Je kunt als je nog in bezit bent van de camera de beelden wel terug krijgen door de camera weer te koppelen.Maar als de inbreker de camera meeneemt of stuk maakt heb je een probleem.En ook dit probleem is al zeker anderhalf jaar bekend bij eufy
Ja nu heb je het verklapt!
Niet alleen Eufy, ook Netatmo doet verdachte dingen. Bijvoorbeeld in het weerstation zit ook een microfoon. Die wordt gebruikt voor de dB weergave in de woonkamer. Maar dit weerstation maakt telkens verbinding met skype. Dat lijkt toch verdacht veel op afluisterpraktijken…..
Bij mij gebeurt het in ieder geval wel degelijk. Ik heb de microfoonchip afgeplakt voor de zekerheid.
Soms wordt er verbinding gemaakt met skype en andere keren weer met H.323, ongeveer een minuut per dag.
Hmmm. Ik controleer dat ook regelmatig en heb Netatmo Weerstation toestellen maar bij mij verbinden ze niet met Skype. Lijkt mij ook niet erg logisch om als bedrijf Skype daarvoor te gebruiken.
Dat heb ik zelf geconstateerd. Met een Deco M5 router kun je namelijk precies zien van elk apparaat waar het verbinding mee maakt.
Heb je dat zelf geconstateerd (hoe) of heb je dat ergens gelezen (waar)?
Eufy heeft meer onjuiste beweringen gedaan. Het zou ook mogelijk worden om een aanbeller op de Google Nest te tonen. Dat is ook nooit gekomen.
Wat maakt het uit.
Op elke hoek van de straat hangen ook camera’s