Anker gibt Sicherheitsprobleme mit Eufys Kameras zu, erklärt aber wenig
Eufy bestätigt, dass Überwachungskameras und smarte Türklingeln ungefragt die Cloud nutzen, und verbessert Details. Eine Entschuldigung gibt es dennoch nicht.
Doorbell Dual mit Kamera
(Bild: Eufy)
Mehr als zwei Wochen nach Bekanntwerden der Sicherheitsproblematik mit Eufys Überwachungskameras und smarten Türklingeln hat das chinesische Unternehmen Stellung bezogen. Auf eine Entschuldigung, dass die Kameras ungefragt in die Cloud funken und per Web zugänglich sind, verzichtet die Anker-Tochter Eufy allerdings. Stattdessen werden einige Prozesse erklärt und Details wurden verbessert.
Eufy vertreibt unter anderem smarte Türklingeln mit Kamera, aber auch reine Überwachungskameras, die per WLAN in das eigene Netz eingebunden werden. Dabei verspricht das Unternehmen lokale Datenspeicherung auf den Smart-Home-Geräten im eigenen Netzwerk. Eine Besonderheit ist dabei, dass die Speicherung auf den Cloud-Servern von Eufy nur optional ist – im Gegensatz zu Konkurrenzprodukten, wie Eufy herausstellt.
Kein kompletter Cloud-Verzicht
Doch das scheint nicht in allen Fällen so zu sein. Wie Sicherheitsforscher herausfanden, wurden Daten auch ohne Zustimmung auf Eufy-Servern gespeichert und miteinander verknüpft. Zudem konnten Vorschaubilder der Kameras über Webanfragen abgerufen werden, die offenbar unverschlüsselt auf den Servern von Eufy gespeichert wurden. Unverschlüsselte Livestreams der Kameras waren ohne Log-in möglich, wenn die Webadresse bekannt war.
Dies hat Eufy nun in einer Stellungnahme versucht zu entkräften. Dass dies erst zwei Wochen nach den ersten Berichten erfolgt, erklärt das Unternehmen damit, dass zunächst alle Informationen gesammelt und bewertet werden sollten. Diese Vorgehensweise soll zukünftig verbessert werden, denn die Kunden hätten ein Recht auf schnellere und umfassende Information.
Sicherheitsprobleme zugegeben, Stream-Zugriff verbessert
Eufy gibt verschiedene Sicherheitsprobleme zu und erkärt, dass Push-Nachrichten auf Mobilgeräte Cloud-Server erfordern. Dazu gehören Vorschaubilder, die allerdings verschlüsselt seien und kurz nach Versand wieder gelöscht werden sollen. Die Livestreams wurden hingegen dahin gehend verbessert, dass dafür inzwischen Einloggen auf Eufys Webportal notwendig ist. Nutzerdaten seien aber nicht kompromittiert worden.
Allerdings gibt es noch einige offene Fragen, die Eufy bislang nicht adressiert hat. Warum etwa produzieren Kameras mit Ende-zu-Ende-Verschlüsselung unverschlüsselte Streams? Was hindert Mitarbeiter von Eufy und Anker daran, auf diese Streams zuzugreifen? Teilt Eufy Videostreams mit Strafverfolgungs- oder Regierungsbehörden?
(fds)