Eufy-Sicherheitskameras: Übertragung ins Webportal war nicht E2E-verschlüsselt
Das Unternehmen Anker kam mit seinen Eufy–Sicherheitskameras in die Medien. Konkret ging es um Schwachstellen, schlechte Beschreibungen und verbesserungswürdige Kommunikation. Seitdem hat das Unternehmen an seinen Apps und Beschreibungen gearbeitet – und nun gibt es auch ein längeres Statement von Ankers PR-Kopf gegenüber The Verge. Da lässt sich einiges rausziehen. So beschreibt er unter anderem, dass die Kommunikation zwischen den Kameras und dem Webportal wohl doch nicht Ende-zu-Ende-verschlüsselt war, da Kunden über das Debug-Menü im Browser eine Stream-URL abgreifen konnten und diese weitergeben konnten.
Auf der Grundlage von Rückmeldungen aus der Branche und aus Gründen der Vorsicht verbietet das eufy-security-Webportal den Nutzern nun den Zugriff auf den Debug-Modus, und der Code wurde entsprechend angepasst. Darüber hinaus ist der Inhalt des Videostreams verschlüsselt, was bedeutet, dass diese Videostreams nicht mehr auf Medienplayern von Drittanbietern wie VLC abgespielt werden können. Die meisten der Nutzer verwenden die eufy-Security App, um Livestreams anzusehen, rund 0,1 % der täglichen Anwender besuchen das Webportal.
Heute verwenden alle Videos (live und aufgezeichnet), die zwischen dem Gerät des Nutzers und dem eufy Security Webportal oder der eufy Security App ausgetauscht werden, eine Ende-zu-Ende-Verschlüsselung, die mit AES- und RSA-Algorithmen implementiert wird. Früher war die Übertragung zum Webportal also nicht mit einer Ende-zu-Ende-Verschlüsselung versehen.
Homebase3- und eufyCam3/3C-Geräte, die im Oktober 2022 auf den Markt kommen, nutzen WebRTC für eine Ende-zu-Ende-verschlüsselte Kommunikation, wenn man das Webportal für den Zugriff auf Live-Streams in einem Browser nutzt. Man sei auch gerade dabei, WebRTC auf alle eufy-Security-Geräte auszurollen. Dies ist bereits bei der neuen HomeBase 3 und eufyCam 3 Serie verfügbar.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
So wie das gehandhabt wurde ist Anker/eufy nachhaltig verbrannt bei den Leuten für die die angepriesenen Features relevant sind. Den Rest interessierts eh nicht.
Ende-zu-Ende Verschlüsselung ist ein toller Marketingbegriff geworden.
Inzwischen wird aber immer seltener wirklich E2E-verschlüsselt.
Die Marketingleute haben die Transportverschlüsselung für sich entdeckt und verkaufen einem das als E2E-Verschlüsselung. Der Kunde denkt dann, dass der Anbieter mit den Daten nichts anfangen kann – und wird entsprechend getäuscht.
Auch im Artikel von Caschy scheint E2E-Verschlüsselung und Transportverschlüsselung durcheinandergeworfen zu werden.
E2E ist leider auch nicht eindeutig definiert, aber wenn einfach nur Transportverschlüsselt wird, dann ist E2E hier eindeutig der falsche Begriff;)
https und TLS ist so zu schön fürs Marketing , leider ist (S)RTP eher den hochpreisigen Kamera vorbehalten .
Mit den Kunstgriffen debug konnte man an die gängigen NAS mit den Streams verbinden.
Denke mal die Vorgängermodelle sind nicht Updatefähig und dürfen in die Restmülltonne , für die Gelbe haben Sie bestimmt nicht eingezahlt.
Elektroschrott gehört aber doch sowieso nicht in die gelbe Tonne, und in den Restmüll sowieso nicht…..
Hört sich so an, dass Eufy zu jederzeit die Mögichkeit hatte Live-Streams von den Kameras ausserhalb des eigenen LANs abzurufen? Das wäre ja das komplette Gegenteil von End-to-End Verschlüsselung.
Hab keine Eufy-Cam, war aber grundsätzlich an den Produkten interessiert, sollte zukünftig Bedarf für eine IP-Cam Lösung bestehen.
Ich mache keine Jubelschreie und lobe die Firma nicht in den Himmel, kann aber mit der langsamen Kommunikation und den Ergebnis leben, zumal ein teils des Skandals doch arg übertrieben war (wie soll denn sonst der Screenshot aufs Handy, eben nicht über sie Cloud??? in dem Punkt gab es keinen Skandal, sondern nur dämlichen Populismus).
Man ist hier allerdings auch recht alternativlos, wenn man aus Komfort Gründen keine rein lokale Lösung will, gleichzeitig aber auch nicht für noch ein Cloud Abo jährlich bezahlen will. Oder kennt hier jemand eine alternative, die einerseits lokal speichert, andererseits aber via App, ohne VPN und mit Push Benachrichtigung Zugriff will? m.E. hat eufy hier einen am Markt einmaligen Spagat hin gelegt.
Da gründet man extra eine neue Firma, damit man nicht ständig mit Ladesteckern für Handy in Verbindung gebracht wird und ignoriert dann aber die modernsten Sicherheitsstandards.
Anker will einfach möglichst viel mit möglichst wenig Arbeit