Bei der zu Anker gehörenden Marke eufy hat Sicherheitsforscher Paul Moore eine kritische Daten- und Sicherheitslücke aufgedeckt. Betroffen ist zumindest die smarte Türklingel mit Kamera, namentlich die Anker Eufy Doorbell Dual.
Anker Eufy Doorbell Dual überträgt Gesichtserkennungsdaten an Server
Bei der Anker Eufy Doorbell Dual verspricht der Hersteller Sicherheit und Sparsamkeit. Auf der Produktwebsite heißt es: „Das bedeutet, dass niemand außer der Familie Zugriff auf die Daten hat – und das ganz ohne Gebühren für Cloud-Dienste.“
Dass dem offenbar nicht so ist, hat nun Sicherheitsforscher Paul Moore herausgefunden und in einem Video auf YouTube festgehalten. Demnach soll die Kamera Gesichtserkennungsdaten an die Server des Unternehmens übertragen und das selbst dann, wenn die Cloud-Speicherung eigentlich deaktiviert ist und nur der lokale Speicher genutzt werden soll.
Auch via Twitter zeigt Moore auf, dass die Kamera dabei ungefragt und ohne Zustimmung Daten an den Hersteller übermittelt. Und das über einen unverschlüsselten API-Aufruf direkt auf die Server von eufy.
Dabei sollen laut Moore sogar Namen und Orte übertragen werden, während sich sogar ein Stream der Kamera ohne Authentifizierung starten lässt. Auch eine eindeutige Verschlüsselung der Daten sei nicht gegeben, so Moore weiter.
Bereits im Mai 2022 hatte BitDefender verschiedene kritische Sicherheitsmängel bei einem eufy-Produkt aufgedeckt, betroffen war seinerzeit die Eufy 2K Indoor Camera, die auf verschiedene Weisen angreifbar ist.
Der Hersteller brüstet sich mit seinem besonders hohen Maß an Sicherheit und damit, dass sämtliche Daten aus seinen Kamera lediglich lokal gespeichert werden. Auch bei der erst im Oktober vorgestellten eufy HomeBase 3 und eufyCam 3 heißt es, dass die Daten lediglich lokal und in einer eigenen Cloud gespeichert werden.
„HomeBase verwendet einen lokalen Speicher, der von Cloud-Servern ferngehalten wird, um sicherzustellen, dass alle Daten zuhause bleiben,“ so der Hersteller. Ob diese Produkte ebenfalls ungefragt Daten an die Cloud des Herstellers übermitteln, ist allerdings unklar.
Nachtrag: Statement von Anker
eufy Security ist als lokales Heim-Security-System konzipiert. Sämtliches Videomaterial wird dafür lokal und verschlüsselt auf dem Gerät von NutzerInnen gespeichert. Die Gesichtserkennungstechnologie von eufy Security wird ebenfalls lokal auf dem Gerät verarbeitet und gespeichert. Unsere Produkte, Dienstleistungen und Prozesse entsprechen in vollem Umfang den geltenden Standards der Datenschutz-Grundverordnung (DSGVO), einschließlich der Zertifizierungen ISO 27701/27001 und ETSI 303645.
Um NutzerInnen die Push-Benachrichtigungen für ihre Mobilgeräte bereitzustellen, können einige unserer Sicherheitslösungen kleine Vorschaubilder (sogenannte Thumbnails) von Videos anzeigen, die kurz und sicher auf einem Amazon-Web-Services (AWS) basierten Cloud-Server gehostet werden. Diese Thumbnails nutzen eine serverseitige Verschlüsselung und sind so eingestellt, dass sie automatisch gelöscht werden. Sie entsprechen allen Standards der Apple Push-Benachrichtigungsdienste (iOS-App) und des Firebase Cloud Messagings (Android-App). Erst wenn NutzerInnen sich sicher bei ihrem eufy Security-Konto angemeldet haben, können sie auf diese Thumbnails zugreifen oder sie teilen.
Obwohl unsere eufy Security-App den NutzerInnen vom Start an die Möglichkeit bietet, zwischen Text- und Thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde von uns nicht deutlich genug gemacht, dass bei der Auswahl der Thumbnail-Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden.
Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für diesen Fehler.
Wir werden unsere Kommunikation verbessern, unter anderem mit folgenden Maßnahmen:
- Wir überarbeiten die Formulierungen der Push-Benachrichtigungs-Optionen in der eufy Security-App, um deutlich darauf hinzuweisen, dass Push-Benachrichtigungen mit Miniaturansichten kleine Vorschaubilder benötigen, die vorübergehend in der Cloud gespeichert werden.
- Wir werden die Nutzung der Cloud für Push-Benachrichtigungen in unseren Marketingmaterialien für Verbraucher deutlicher herausstellen.
eufy Security setzt sich vollständig für den Schutz der Privatsphäre und der Daten seiner NutzerInnen ein und dankt der Sicherheits-Community, die uns auf dieses Problem aufmerksam gemacht hat.Anker
