Statement: Eufy-Kameras laden teils Bilder ohne Zustimmung in die Cloud
Ankers Eufy-Sicherheitskameras sind in den letzten Tagen in die Schlagzeilen geraten, da sie mitunter Daten in die Cloud hochladen, obwohl keine Cloud-Dienste aktiviert sind und der Nutzer diesem Upload nicht explizit zugestimmt hat. Eufy erklärt, wie es dazu kommen konnte.
Upload von Vorschaubildern ohne Einwilligung
Der Sicherheitsberater Paul Moore hatte aufgedeckt, dass seine Eufy Doorbell Dual trotz deaktivierter Cloud-Speicherung automatisch immer ein Vorschaubild seines Gesichts von der Gesichtserkennung und ein Standbild des Kamerabildes in die Cloud hochlädt, wenn von der Kamera ein Ereignis erkannt wird. Dass die Daten nicht von seiner lokalen Kamera stammen, demonstrierte er dadurch, dass er seine HomeBase von Eufy vor dem Login in das Eufy-Online-Interface vom Internet trennte. Dennoch konnte die Website auf die beiden genannten Daten der Kamera über eine Cloud-Verbindung zugreifen. Auch wenn das letzte Ereignis in der Eufy-App gelöscht wird und für den Nutzer selbst darüber nicht mehr zugänglich sind, ließen sich das Vorschaubild seines Gesichts und das Standbild weiterhin über die Website abrufen. Dafür ist es allerdings notwendig, dass er sich in sein Eufy-Konto einloggt.
Der automatische Cloud-Upload ohne das Wissen und Einverständnis des Nutzers ist jedoch nicht nur unzulässig, sondern passt auch nicht zu der Aussage von Eufy, dass für den Betrieb keine Cloud eingesetzt werden muss und keine Kosten entstehen. Weitere Nutzer haben den Upload dieser Bilder und die Zugriffsmöglichkeit über das eigene Benutzerkonto auf der Eufy-Website inzwischen bestätigt.
Die Vorschaubilder, auf die sich zugreifen lässt, werden für Benachrichtigungen auf dem Smartphone des Nutzers und den Fernzugriff genutzt. In einem Video demonstriert Paul Moore seine Entdeckung.
Er geht zudem davon aus, dass es Eufy möglich ist, die Gesichtserkennung von zwei verschiedenen Kameras und aus zwei verschiedenen Apps zusammenzuführen.
Stellungnahme von Eufy
ComputerBase hat Anker um eine Stellungnahme gebeten, die im Wortlaut am Ende dieser Meldung angefügt ist. Eufy beziehungsweise Anker bestreitet den Cloud-Upload der Daten darin nicht, sondern erklärt, dass er immer dann erfolgt, wenn der Nutzer Push-Benachrichtigungen mit Vorschaubild aktiviert habe. Der Upload erfolge in die Cloud der Amazon Web Services (AWS) und die Daten seien nicht öffentlich zugänglich, sondern nur durch den Benutzer selbst, so Anker. Darüber hinaus sollen die Daten nur kurzzeitig gespeichert werden, wobei kein konkreter Zeitraum genannt wird. Dass bei der Aktivierung der Push-Benachrichtigungen mit Vorschaubild ein Cloud-Upload erfolge, habe man aber nicht klar genug kommuniziert, wofür man sich entschuldige, so Anker.
Direkter Zugriff auf Stream ohne Login
Paul Moore machte kurze Zeit später jedoch auf ein weiteres Problem bei den Eufy-Kameras aufmerksam, auf das Anker noch nicht reagiert hat. Demnach lässt sich etwa mit der Wiedergabe-Software VLC direkt auf den Stream einer Kamera zugreifen, ohne dass eine Authentifizierung nötig ist. Details hierzu verrät er jedoch nicht, was den Sachverhalt noch nicht ganz eindeutig macht. Nutzer-Berichten zufolge soll der Zugriff nämlich auch von außerhalb des eigenen Netzwerks möglich sein. Ein Zugriff innerhalb des eigenen Netzwerks wäre hingegen nichts Ungewöhnliches, da viele Anbieter einen RTSP-Stream (Real-Time Streaming Protocol) des Livebilds zugänglich machen, was dann allerdings auch beabsichtigt ist. Auch bei eufy lassen sich Aufnahmen so etwa auf einem NAS speichern, der Hersteller selbst hat dazu eine Anleitung veröffentlicht. Den jüngsten Berichten zufolge sei es aber für einen externen Zugriff lediglich notwendig, die Seriennummer der Kamera zu kennen, um auf den Stream zugreifen zu können, und eine Authentifizierung sei jedoch nicht erforderlich.
Statement von Eufy zu Thumbnail-Push-Benachrichtigungen in der eufy-Security-App
eufy Security ist als lokales Heim-Security-System konzipiert. Sämtliches Videomaterial wird dafür lokal und verschlüsselt auf dem Gerät von NutzerInnen gespeichert. Die Gesichtserkennungstechnologie von eufy Security wird ebenfalls lokal auf dem Gerät verarbeitet und gespeichert. Unsere Produkte, Dienstleistungen und Prozesse entsprechen in vollem Umfang den geltenden Standards der Datenschutz-Grundverordnung (DSGVO), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645.
Um NutzerInnen die Push-Benachrichtigungen für ihre Mobilgeräte bereitzustellen, können einige unserer Sicherheitslösungen kleine Vorschaubilder (sogenannte Thumbnails) von Videos anzeigen, die kurz und sicher auf einem Amazon-Web-Services (AWS) basierten Cloud-Server gehostet werden. Diese Thumbnails nutzen eine serverseitige Verschlüsselung und sind so eingestellt, dass sie automatisch gelöscht werden. Sie entsprechen allen Standards der Apple Push-Benachrichtigungsdienste (iOS-App) und des Firebase Cloud Messagings (Android-App). Erst wenn NutzerInnen sich sicher bei ihrem eufy Security-Konto angemeldet haben, können sie auf diese Thumbnails zugreifen oder sie teilen.
Obwohl unsere eufy Security-App den NutzerInnen vom Start an die Möglichkeit bietet, zwischen Text- und Thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde von uns nicht deutlich genug gemacht, dass bei der Auswahl der Thumbnail-Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden.
Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für diesen Fehler.
Wir werden unsere Kommunikation verbessern, unter anderem mit folgenden Maßnahmen:
1. Wir überarbeiten die Formulierungen der Push-Benachrichtigungs-Optionen in der eufy Security-App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten kleine Vorschaubilder benötigen, die vorübergehend in der Cloud gespeichert werden.
2. Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.
eufy Security setzt sich vollständig für den Schutz der Privatsphäre und der Daten seiner NutzerInnen ein und dankt der Sicherheits-Community, die uns auf dieses Problem aufmerksam gemacht hat.