Sicherheitskameras: Eufy nimmt weitere Korrekturen vor
von caschy | 7 Kommentare
Wir berichteten über die Kritik am Unternehmen Eufy, hinter denen wiederum Anker steht. Eufy ist ein Unternehmen, das hauptsächlich in dem Bereich von Haushaltsgeräten und Smart-Home-Produkten tätig ist. Sie bieten eine Vielzahl von Produkten an, darunter Staubsauger, Luftreiniger, Türklingeln und Sicherheitskameras.
Jene Sicherheitskameras haben anders gearbeitet als von Eufy beschrieben, denn Eufy nutzte für Thumbnails die Cloud, des Weiteren gab es Zugriffsmöglichkeiten auf Streams der Kameras. Eufy gab schon einmal ein Statement ab, änderte Beschreibungen in der App und letztens auch auf der Homepage. Das war alles in allem eine unschöne Sache, denn Eufy gehört(e?) für viele Kunden zu den Marken, zu denen man greift, wenn man eben nicht irgendwelche x-bliebigen Mullu-Mullu-Kameras undurchsichtiger Firmen nutzen möchte.
Nun gibt es ein weiteres Statement an die Presse, aus dem wir auszugsweise zitieren, manches ist bereits im letzten Statement genannt worden, beispielsweise wie die Nutzung der Cloud für Thumbnails arbeitet:
In Zukunft werden wir unser Bedürfnis, „alle Fakten“ zu sammeln, besser mit unserer Verpflichtung, unsere Kunden schneller zu informieren, in Einklang bringen müssen.
eufy Security nutzt die Cloud, um Benutzern mobile Push-Benachrichtigungen zu senden:
Wie bereits erwähnt, ist eufy Security bestrebt, die Nutzung der Cloud in unseren Sicherheitsprozessen so weit wie möglich zu reduzieren. Einige Prozesse erfordern jedoch auch heute noch die Nutzung unseres sicheren AWS-Servers. So wird beispielsweise bei Push-Benachrichtigungen über Sicherheitsereignisse – wenn der Benutzer ein Vorschaubild für die Sicherheitsbenachrichtigung ausgewählt hat – ein kleines Vorschaubild des Sicherheitsereignisses an unseren sicheren AWS-Server gesendet und dann auf das Telefon des Benutzers übertragen. Dieses Bild ist durch eine Ende-zu-Ende-Verschlüsselung geschützt und wird kurz nach dem Versand der Push-Benachrichtigung gelöscht. Auch dieser Prozess entspricht allen Industriestandards.
Wir haben die eufy Security App bereits mit einer detaillierteren Erklärung der verschiedenen Push-Benachrichtigungsoptionen und der Optionen, die die Verwendung unseres sicheren AWS-Servers erfordern, aktualisiert. Dies wird unseren Nutzern helfen, eine fundierte Entscheidung zu treffen. Wir verstehen, dass dies nicht genug ist. Als Unternehmen, das sich darauf konzentriert, die Nutzung der Cloud zu reduzieren, müssen wir deutlicher machen, welche unserer Prozesse lokal ausgeführt werden und welche die Nutzung unseres sicheren AWS-Servers erfordern. Dazu gehört auch eine überarbeitete Datenschutzerklärung auf eufy.com, die wir im Laufe dieser Woche veröffentlichen werden.
Die Live-Ansicht des Web-Portals von eufy Security hat eine Sicherheitslücke:
Zunächst einmal wurden keine Nutzerdaten preisgegeben, und die möglichen Sicherheitslücken, die online diskutiert werden, sind spekulativ. Wir stimmen jedoch zu, dass es einige wichtige Bereiche gibt, die verbessert werden können. Daher haben wir die folgenden Änderungen vorgenommen. Heute können sich die Benutzer immer noch bei unserem Webportal eufy.com anmelden, um die Live-Streams ihrer Kameras anzusehen. Außerhalb des Webportals von eufy können Nutzer jedoch keine Live-Streams mehr ansehen (oder aktive Links zu diesen Live-Streams mit anderen teilen). Jeder, der diese Links sehen möchte, muss sich zunächst beim eufy.com Webportal anmelden. Wir werden weiterhin nach Möglichkeiten zur Verbesserung dieser Funktion suchen.
eufy sendet Gesichtserkennungsdaten in die Cloud?
Das ist nicht wahr. Dies ist ein entscheidendes Unterscheidungsmerkmal für eufy Security – alle Gesichtserkennungs- und biometrischen Prozesse werden lokal auf dem Gerät des Nutzers abgeschlossen. Diese Informationen werden niemals in der Cloud verarbeitet.
Die Schritte beschreiben, was passiert, wenn Benutzer eine neue Person zu ihrem eufy Security-Gesichtserkennungssystem hinzufügen möchten.
Der Nutzer muss zunächst ein Bild der neuen Person über seine eufy Security App an sein Sicherheitsgerät senden.
Befindet sich der Nutzer im selben WLAN wie sein Sicherheitsgerät, wird das Bild über eine sichere lokale Verbindung (LAN) von der eufy Security App direkt an das Sicherheitsgerät gesendet.
Befindet sich der Benutzer nicht im selben Wi-Fi-Netzwerk wie das Sicherheitsgerät (oder ist er nicht zu Hause), wird das Bild über eine direkte P2P-Verbindung über das Internet sicher von der eufy Security App an das Sicherheitsgerät gesendet.
Zuvor nutzte die eufy Video Doorbell Dual unseren sicheren AWS-Server, um das Ausgangsbild an andere Kameras im lokalen eufy Security-System des Benutzers weiterzugeben. Heute wurde die eufy Video Doorbell Dual so aufgerüstet, dass sie den gleichen LAN/P2P-Prozess wie oben beschrieben nutzt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wer einmal lügt dem glaubt man nicht…
Die Überschrift suggeriert, dass Eufy Korrekturen an den Produkten vornimmt und die Backdoors/Sicherheitslücken schließt.
Sie versuchen aber lediglich durch Änderungen an den Websites ihre früheren Lügen zu verschleiern und mit ein paar überspezifischen Stellungnahmen von den eigentlichen Problemen abzulenken.
Und dass es sich bei eufy/Anker nicht um ein amerikanisches, sondern ein chinesisches Unternehmen handelt, versuchen sie auch so gut wie möglich zu verheimlichen.
Dass LTT konsequent auf Placements von Eufy verzichtet, ist ein Indikator, wie umsatzgefährdend das Thema für Meinungsführer erscheint.
Eufy und Anker wohlgemerkt.
Auf der einen Seite wird Microsoft 356 beliebig eingesetzt (Außenministerium zB), auf der anderen Seite wird gegen eine Firma ein riesen Skandal veranstaltet, weil die Push Benachrichtigungen, die extern empfangen werden sollen und freiwillig sind ,(bzw erst aktiviert werden müssen) Bilder über die Cloud schickt… Überraschung, wie sollen sie denn sonst extern ans Smartphone kommen, wenn nicht über die eufy Server? Lieber ne Portfreigabe im Heimnetz und dann dauerhaft ein potentielles Sicherheitsloch haben?
Keiner würde sich aufregen wenn die vorherige Produktpräsentation seitens Eufy nicht mehrfach explizit verneint hätte dass Daten an irgendwelche Cloudserver übertragen werden. Außerdem waren hier nicht nur Push Notifications problematisch, über einen öffentlich erratbaren Link war Zugang zu den Kamerabildern möglich und auch nach Löschung der Bilder durch den Nutzer lagen die Daten noch auf Cloud-Servern.
Diese Relativierung geht aber deutlich an der Kritik vorbei. Diese war und ist deutlich komplexer.