Vorsicht bei dieser Sicherheitskamera
Dieser Artikel ist älter als ein Jahr!
Die Sicherheitskameras der Marke Eufy scheinen einige Daten an deren Amazon basierten Cloud-Server (AWS) zu senden, auch wenn der Cloud-Speicher deaktiviert und nur die lokalen Speichereinstellungen aktiviert sind. Das hat der Sicherheitsforscher Paul Moore unlängst herausgefunden und in mehreren Tweets dargestellt.
Um das Problem aufzuzeigen, hat er eine Eufy Doorbell Dualkamera verwendet. Eufy soll unter anderem Miniaturbilder von Gesichtern auf seinen Cloud-Dienst hochladen. Diese Daten werden gemeinsam mit dem Benutzernamen und anderen identifizierbaren Informationen dort abgespeichert.
Schlüssel einfach zu knacken
Die Website des Herstellers kann über die Cloud-Integration auf die Inhalte zugreifen, auch wenn man sich für den Cloud-Dienst nicht angemeldet hat. Laut Moore würden diese Daten außerdem auch dann auf dem Server gespeichert, wenn die Aufzeichnungen bereits aus der Eufy-App gelöscht wurden. Zusätzlich könnten die Videos durch Eingabe der richtigen URL über einen Webbrowser gestreamt werden. Authentifizierungsdaten seien dafür nicht erforderlich.
Videos, die mit einer sogenannten AES-128-Verschlüsselung verschlüsselt sind, sind ihm zufolge lediglich mit einem einfachen Schlüssel und nicht mit einer adäquaten zufälligen Zeichenabfolge verschlüsselt. Moores Aufnahmen wurden beispielsweise mit dem Schlüssel „ZXSecurity17Cam@“ gespeichert. Dieser könne aber sehr einfach geknackt werden.
Gesichtserkennung für Uploads
Eufy lädt offenbar nicht die vollständigen Streaming-Videos automatisch hoch, sondern Aufnahmen des Videos als Miniaturansicht. Diese Thumbnails werden in der Eufy-App verwendet, um Streaming-Videos der Eufy-Basisstation zu aktivieren, sodass Nutzer*innen sie auch unterwegs ansehen können. Eufy scheint auch Gesichtserkennung für die Uploads zu verwenden.
Eufy hat die Ergebnisse des Forschers bestätigt, meinte aber, dass die Daten nicht an die Öffentlichkeit gelangen könnten, da die URL eingeschränkt und zeitlich begrenzt ist. Auch sei eine Kontoanmeldung notwendig. Laut Moore wurden bereits einige der Probleme gepatcht. Eufy habe unter anderem den Netzwerkaufruf entfernt.
Kommentare