Update: 30.11.2022, 12 Uhr: Eufy hat ein Statement veröffentlicht, das wir im exakten Wortlaut unten im Artikel nachträglich eingefügt haben.

Der Sicherheitsforscher Paul Moore hat eine außerordentlich schwerwiegende Sicherheits- und Datenschutz-Lücke in den smarten Sicherheitskameras und Türklingeln des Herstellers eufy entdeckt. Dabei wurden hochauflösende Bilder, unverschlüsselte Live-Streams und Daten über Gesichtserkennung an die Server des Unternehmens geschickt, obwohl laut Hersteller keine Verbindung zur Cloud erfolgt.

In einer Reihe von Tweets hat der Sicherheitsforscher Paul Moore aufgedeckt, dass die Tochterfirma des chinesischen Herstellers Anker zahlreiche Daten an die Server des Unternehmens schickt. Dabei brüstet sich eufy damit, dass keine Cloud-Konnektivität besteht und Bilder sowie Videos der Sicherheitskameras und smarten Türklingeln nur lokal gespeichert werden. Jedes Gesicht wird über einen unverschlüsselten API-Aufruf direkt an die Server von eufy verschickt, AI-Daten samt Namen und Orten werden übertragen und selbst ein Kamera-Stream kann ohne Authentifizierung übers Internet gestreamt werden. Zudem wird kein kryptografisch, eindeutiger Schlüssel zur Verschlüsselung verwendet, sondern ist für alle Geräte und Nutzer gleich. Das erfolgt selbstverständlich alles ohne Zustimmung oder gar Mitwissen des Nutzers, welcher die Kamera für die lokale Speicherung konfiguriert hatte.

Für den Sicherheitsforscher steht fest: Dass KI-Daten, Gesichter, Orte und Kamera-Streams unverschlüsselt ins Netz sowie auf die eufy-Server gelangen, kann kein Zufall sein. Er kündigte rechtliche Schritte gegen den chinesischen Konzern an und steht bereits in Kontakt mit den Anwälten von eufy. Dort hat man bereits die API-Aufrufe verschlüsselt, womit es für Nutzer nur schwieriger wird, nachzuvollziehen, was an die eufy-Cloud verschickt wird. Verschickt wird aber anscheinend weiterhin.

Ich hoffe nur, meine smarte eufy-Waage hat keine Kamera nach oben am Waagenbrett…

Das Video des Sicherheitsforschers

Kamera-Stream lässt sich unverschlüsselt abrufen

Statement von eufy

eufy Security ist als lokales Heim-Security-System konzipiert. Sämtliches Videomaterial wird dafür lokal und verschlüsselt auf dem Gerät von NutzerInnen gespeichert. Die Gesichtserkennungstechnologie von eufy Security wird ebenfalls lokal auf dem Gerät verarbeitet und gespeichert. Unsere Produkte, Dienstleistungen und Prozesse entsprechen in vollem Umfang den geltenden Standards der Datenschutz-Grundverordnung (DSGVO), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645.

Um NutzerInnen die Push-Benachrichtigungen für ihre Mobilgeräte bereitzustellen, können einige unserer Sicherheitslösungen kleine Vorschaubilder (sogenannte Thumbnails) von Videos anzeigen, die kurz und sicher auf einem Amazon-Web-Services (AWS) basierten Cloud-Server gehostet werden. Diese Thumbnails nutzen eine serverseitige Verschlüsselung und sind so eingestellt, dass sie automatisch gelöscht werden. Sie entsprechen allen Standards der Apple Push-Benachrichtigungsdienste (iOS-App) und des Firebase Cloud Messagings (Android-App). Erst wenn NutzerInnen sich sicher bei ihrem eufy Security-Konto angemeldet haben, können sie auf diese Thumbnails zugreifen oder sie teilen.

Obwohl unsere eufy Security-App den NutzerInnen vom Start an die Möglichkeit bietet, zwischen Text- und Thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde von uns nicht deutlich genug gemacht, dass bei der Auswahl der Thumbnail-Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden.

Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für diesen Fehler.

Wir werden unsere Kommunikation verbessern, unter anderem mit folgenden Maßnahmen:

  1. Wir überarbeiten die Formulierungen der Push-Benachrichtigungs-Optionen in der eufy Security-App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten kleine Vorschaubilder benötigen, die vorübergehend in der Cloud gespeichert werden.
  2. Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.

eufy Security setzt sich vollständig für den Schutz der Privatsphäre und der Daten seiner NutzerInnen ein und dankt der Sicherheits-Community, die uns auf dieses Problem aufmerksam gemacht hat.