Nachricht

Nov 23, 2023

Anker gibt zu, dass Eufy-Sicherheitskameras nicht nativ verschlüsselt waren

„ZDNET empfiehlt“: Was genau bedeutet das? Die Empfehlungen von ZDNET basieren auf stundenlangen Tests, Recherchen und Vergleichseinkäufen. Wir sammeln Daten aus den besten verfügbaren Quellen, einschließlich

„ZDNET empfiehlt“: Was genau bedeutet das?

Die Empfehlungen von ZDNET basieren auf stundenlangen Tests, Recherchen und Vergleichseinkäufen. Wir sammeln Daten aus den besten verfügbaren Quellen, einschließlich Anbieter- und Einzelhändlerlisten sowie anderen relevanten und unabhängigen Bewertungsseiten. Und wir studieren Kundenbewertungen, um herauszufinden, was für echte Menschen wichtig ist, die die von uns bewerteten Produkte und Dienstleistungen bereits besitzen und nutzen.

Wenn Sie von unserer Website aus zu einem Einzelhändler klicken und ein Produkt oder eine Dienstleistung kaufen, erhalten wir möglicherweise Affiliate-Provisionen. Dies trägt zur Unterstützung unserer Arbeit bei, hat jedoch keinen Einfluss darauf, was wir abdecken oder wie wir es abdecken, und es hat keinen Einfluss auf den Preis, den Sie zahlen. Weder ZDNET noch der Autor erhalten für diese unabhängigen Rezensionen eine Vergütung. Tatsächlich befolgen wir strenge Richtlinien, die sicherstellen, dass unsere redaktionellen Inhalte niemals von Werbetreibenden beeinflusst werden.

Die ZDNET-Redaktion schreibt für Sie, unsere Leser. Unser Ziel ist es, die genauesten Informationen und die sachkundigste Beratung zu liefern, die möglich ist, um Ihnen zu helfen, intelligentere Kaufentscheidungen für technische Ausrüstung und eine breite Palette von Produkten und Dienstleistungen zu treffen. Unsere Redakteure prüfen jeden Artikel gründlich und prüfen die Fakten, um sicherzustellen, dass unser Inhalt den höchsten Standards entspricht. Wenn uns ein Fehler unterlaufen oder irreführende Informationen veröffentlicht wurden, werden wir den Artikel korrigieren oder klarstellen. Wenn Sie Ungenauigkeiten in unseren Inhalten feststellen, melden Sie den Fehler bitte über dieses Formular.

Eufy Security schwieg größtenteils, seit in seinem System Sicherheitslücken aufgedeckt wurden, was viele Benutzer verständlicherweise unzufrieden machte und viele fragten sich, ob sie den Überwachungskameras von Eufy überhaupt vertrauen könnten. Aber jetzt hat sich das geändert.

Laut The Verge hat Anker Electronics diese Woche endlich zugegeben, dass Eufy-Sicherheitskameras tatsächlich Videostreams für das Webportal ohne Verschlüsselung produziert haben. Anker ist die Muttergesellschaft von Eufy.

Auch:Die besten Überwachungskameras

Im Herbst 2022 wurde der Hersteller von Smart-Home-Geräten dabei erwischt, wie er Benutzerdaten ohne Zustimmung auf Cloud-Server hochlud.

Darüber hinaus behaupteten Kunden, dass jemand einen Link vom Eufy-Webportal verwenden könne, um den Livestream der Kamera über einen Mediaplayer, in diesem Fall VLC, anzusehen.

Anker sagt, das sei nicht mehr der Fall.

„Heute nutzen alle Videos (live und aufgezeichnet), die zwischen dem Gerät des Benutzers und dem Eufy Security-Webportal oder der Eufy Security-App geteilt werden, eine Ende-zu-Ende-Verschlüsselung, die mithilfe von AES- und RSA-Algorithmen implementiert wird“, sagte Ankers globaler Kommunikationsleiter , Eric Villines, der auf die Anfragen von The Verge antwortete, nachdem das Unternehmen wochenlang zu diesen Themen geschwiegen hatte.

Was das Hochladen in die Cloud betrifft, hat Eufy in der mobilen App klare Haftungsausschlüsse gemacht und erklärt, dass einige Daten auf Cloud-Server hochgeladen werden müssen, wenn Benutzer Funktionen wie Videovorschauen für Push-Benachrichtigungen aktivieren.

Aus meiner Sicht besteht das Problem nicht darin, Screenshots in die Cloud hochzuladen, da dies bei den meisten intelligenten Überwachungskameras der Fall ist. Das Problem ist, dass Eufy wusste, dass dies geschah, und die Kunden dennoch dazu verleitete, das Gegenteil zu glauben.

Rezension:EufyCam 3 und HomeBase 3: Warum ich diese Kameras noch nicht los werde

Seit Eufy Sicherheitskameras und HomeBase verkauft, behauptet es auch, dass alle Ihre Daten vollständig lokal gespeichert werden. Kein Grund zur Sorge, alles ist sicher und zuverlässig direkt auf dem integrierten Speicherlaufwerk Ihres HomeBase oder auf einer beliebigen Festplatte oder SSD, die Sie hinzufügen möchten, wenn Sie über die neueste Version verfügen.

In seinen E-Mails an The Verge entschuldigte sich Anker bei den Kunden für die ausbleibende Reaktion und bekundete seine Zusage, in Zukunft bessere Arbeit zu leisten. Dies geschieht unter anderem durch die Zusammenarbeit mit einem unabhängigen Unternehmen, das Sicherheits- und Penetrationstests durchführt, um das System und die Praktiken von Eufy zu prüfen.

Die abgebildete EufyCam 3 und HomeBase 3 nutzen bereits WebRTC.

Ziel sei es, „eine umfassende Sicherheitsrisikobewertung unserer Produkte durchzuführen und potenzielle Risiken zu beseitigen“, erklärte Villines.

Das Unternehmen verpflichtet sich außerdem, sicherzustellen, dass alle Videostream-Anfragen vom Eufy-Webportal Ende-zu-Ende-verschlüsselt werden, und aktualisiert alle Eufy-Kameras auf die Verwendung von WebRTC, das bereits von HomeBase 3 und EufyCam 3/3C verwendet wird. Laut Anker nutzen derzeit nur etwa 0,1 % der aktuellen täglichen Nutzer das Webportal.

Die Firmware-Updates für die verbleibenden Eufy-Kameras wurden letzte Woche eingeführt.

Auch:Eufy Edge Security System zum Anfassen: Die bisher fortschrittlichsten Sicherheitskameras?

Benutzer der mobilen Eufy Security-App können sicher sein, dass ihre Aufnahmen und Kamera-Feeds laut Anker bereits Ende-zu-Ende-verschlüsselt waren und dies lokal entweder auf der Kamera oder HomeBase erfolgte.

Das Eufy Security-Webportal, bei dem sich Benutzer vor dem Zugriff anmelden müssen, war ursprünglich nicht mit Ende-zu-Ende-Verschlüsselung konzipiert, was Villines zugibt, dass dies von Anfang an hätte der Fall sein sollen. Es ist das einzige Video-Streaming-Verfahren, das keine Verschlüsselung verwendet.

Zukünftig hat das Unternehmen neue Protokolle und Verfahren für Funktionen eingeführt, die möglicherweise in Zukunft entwickelt werden, um sicherzustellen, dass alle Daten, die von den Geräten der Benutzer zur mobilen App oder zum Webportal von Eufy Security übertragen werden, eine Ende-zu-Ende-Verschlüsselung verwenden müssen.

„Es gibt mehrere normale Prozesse, die die Nutzung der Cloud erfordern, wie etwa die Kontoeinrichtung, Push-Benachrichtigungen, die Ersteinrichtung des Geräts, Geräte-OTA usw.“, sagte Villines.

Screenshot von Eufys „Proof of Privacy“ auf seiner Website zum Zeitpunkt des Vorfalls, der inzwischen bearbeitet wurde.

Unsere Top-Tipps für Gewerbeimmobilien helfen Ihnen, Ihren Arbeitsplatz zu sichern.

Eufy bestreitet auch, jemals Gesichtserkennungsdaten an die Cloud gesendet zu haben, erwähnt jedoch, dass ein Update für die Video Doorbell Dual durchgeführt wurde, die als einzige die AWS-Cloud-Server nutzte, um ein erstes Gesichtserkennungsbild an andere Kameras zu senden nutzt dazu nun den LAN/P2P-Prozess. ZDNET hat zu keinem dieser Probleme eine Antwort von Anker erhalten.

Das Unternehmen plant außerdem die Einführung einer Microsite mit Informationen darüber, welche seiner Schlüsselprozesse lokal durchgeführt werden und welche die Nutzung der Cloud erfordern, und verspricht, „aktuellere Updates in unserer Community (und den Medien!) bereitzustellen“. „Verbraucher besser über Aktualisierungen dieser Strategien informiert werden“, wobei eine dieser Aktualisierungen Anfang Februar erscheint.

Hin und wieder hören wir von Cybersicherheitslücken und Datenlecks von Unternehmen, die das Vertrauen der Benutzer gewonnen haben – das ist nicht neu. Jedes Mal, wenn es passiert, scheinen sich Menschen mit Meinungen in drei allgemeine Gruppen einzuteilen: eine, die denkt, dass alles übertrieben ist, eine, die nicht glauben kann, dass die Leute nicht noch empörter sind, und eine, die neutral bleibt.

Generell versuche ich, im neutralen Feld zu bleiben. Ich versuche, das Schlechte mit dem Guten zu verbinden und zu erkennen, wie schwer es ist, ein völlig undurchlässiges System aufzubauen, es dann in einen Hurrikan zu werfen und auf das Beste zu hoffen. In den letzten Wochen habe ich jedoch zwischen allen drei Positionen gewechselt.

Da ich überall in meinem Haus eine Reihe von Eufy-Geräten habe, denke ich, dass das Unternehmen noch einen langen Weg vor sich hat, um das Vertrauen der Verbraucher zurückzugewinnen, und obwohl diese neuen Prozesse vielversprechend erscheinen, wird es einige Zeit dauern, bis dies geschieht.

In Bezug auf eine Entschuldigung sagte Villines: „Eine Entschuldigung sollte mehr Details darüber enthalten, was passiert ist und welche Korrekturmaßnahmen wir ergriffen haben, um sicherzustellen, dass so etwas nicht noch einmal passiert“, und ich denke, darüber können wir uns alle einig sein.