Eufy erkent dat camerabeelden niet altijd end-to-end versleuteld waren, bedrijf belooft verbetering
Update 1 februari 2023: Na vele maanden onduidelijkheid, geeft Eufy nu eindelijk tekst en uitleg over de gehele situatie rondom haar beveiligingscamera’s. Hoewel het bedrijf altijd te kennen heeft gegeven dat de camerabeelden end-to-end versleuteld zijn, hebben onderzoekers aangetoond dat dat niet altijd het geval is. Eufy ontkende dit lange tijd, maar nu heeft het bedrijf tegenover The Verge eindelijk opgebiecht hoe het echt zit. Camerabeelden via de Eufy Security-app waren en zijn altijd end-to-end versleuteld, maar dat gold niet voor de streams op het inlogportaal via het web. Een tijdje geleden besloten de ontwikkelaars van Eufy om de livestream toe te voegen aan het webportaal, zodat gebruikers ook vanaf de desktop de beelden kunnen bekijken. Maar daarbij is geen end-to-end encryptie toegepast. Door een link van de stream uit de code van het webportaal te halen, kon deze gebruikt worden in videospelers zoals VLC. Iedereen die zo’n link had, kon dus meekijken met de beelden.
De link was alleen te achterhalen na het inloggen met het Eufy-account, maar eenmaal ingelogd kon iedereen met de link de beelden bekijken. Eufy heeft nu maatregelen genomen, waardoor het niet meer mogelijk is om deze link te achterhalen en heeft tegelijkertijd end-to-end versleuteling toegepast. Het bedrijf voegt eraan toe dat de Homebase 3 en eufyCam 3/3C uit oktober 2022 gebruikmaken van WebRTC voor de end-to-end versleuteling en dat elk huidige Eufy-camera hiervoor een update krijgt. Door deze versleuteling kan alleen de gebruiker de beelden bekijken.
The Verge heeft al haar vragen en de antwoorden van Eufy gepubliceerd. Het bedrijf achter de camera’s hoopt daarmee schoon schip te maken en het vertrouwen van gebruikers terug te winnen. Daarin benadrukken ze nogmaals dat nu alle streams met end-to-end encryptie versleuteld zijn, inclusief die van het webportaal.
Update 17 december 2022: Eufy blijkt veel beloften op het gebied van privacy simpelweg van de website te hebben gewist. Het gaat om 10 beloften die ter discussie werden gesteld en nu geheel zijn verdwenen.
Update 6 december 2022: Eufy heeft inmiddels een wijziging aan de app doorgevoerd. Zoals eerder beloofd is Eufy nu eerlijker over het gebruik van (tijdelijke) cloudopslag bij het versturen van pushnotificaties met thumbnails. Om een melding met daarin een screenshot van een camerabeeld te tonen, wordt een stilstaand beeld tijdelijk in de cloud geupload. In de meldingsinstellingen van de Eufy-app kun je aangeven wat er in de meldingen moet staan. Je kunt er dus ook voor kiezen om geen pushberichten met screenshot te ontvangen, om te voorkomen dat beelden in de cloud opgeslagen worden.
Hoewel Eufy nu transparanter naar gebruikers is over hoe de beelden gebruikt worden, speelt er nog een ander probleem dat misschien nog wel groter is. Het zou nog steeds mogelijk zijn om een stream van de camera te bekijken via een app van derden, zoals VLC, zolang je de link naar de desbetreffende stream hebt. Daarbij zou het niet nodig zijn om je te verifiëren. Wel is toegang tot het webportaal van je Eufy-account nodig, maar als je eenmaal de link hebt kun je de stream bekijken. Eufy zou de gemelde problemen nog aan het onderzoeken zijn.
Hieronder volgt het oorspronkelijke artikel van 30 november 2022
Eufy, een merk van Anker, is gespecialiseerd in diverse soorten beveiligingscamera’s en deurbellen. Sommige daarvan werken met HomeKit en ze zijn ook allemaal te bedienen met de Eufy Security-app. Daarin kun je ook kiezen om je te abonneren op een clouddienst, waarop de beelden opgeslagen worden zodat je ze op meer plekken kan bekijken. Als je dat vanwege privacyredenen liever niet hebt, kun je dit gewoon uitschakelen. Maar een onderzoeker ontdekte dat Eufy toch camerabeelden opslaat in de cloud, zelfs als je de cloudopslag niet gebruikt. Wat is hier aan de hand?
Eufy uploadt camerabeelden naar de cloud
Beveiligingsonderzoeker Paul Moore ontdekte dat Eufy camerabeelden in de cloud zet. Hij heeft daar een demonstratievideo van gemaakt om te laten zien waar en hoe Eufy dat doet. In de broncode van het online portal is een link te achterhalen waar een shot van je camerabeeld te zien is. Hij schakelt ook de HomeBase uit om te bewijzen dat de beelden daadwerkelijk in de cloud staan, want na het uitschakelen van de bridge zijn de beelden nog steeds online te bekijken. Het gaat hierbij om snapshots van de camerastream, dus niet om bewegende beelden.
Eufy gebruikt ook gezichtsherkenning voor de geüploade beelden. Op Reddit is inmiddels een flinke discussie gaande over deze ontdekking. Het opmerkelijke is dat op de Eufy-website flink geadverteerd wordt over lokaal gebruik van de camera en de privacyvriendelijke maatregelen. Maar het feit dat Eufy snapshots van de camerabeelden uploadt naar de cloud, zonder dat je daar als gebruiker van op de hoogte bent, is nogal tegenstrijdig. Moore laat verder ook zien dat de streams op afstand bekeken kunnen worden via een app als VLC, zonder encryptie of authenticatie. Hoe dat precies werkt en of het hier gaat om een lek, is niet helemaal duidelijk.
Eufy reageert: beelden gebruikt voor pushmeldingen
Eufy heeft inmiddels gereageerd en maakt duidelijk waar de beelden voor gebruikt worden. De cameramaker gebruikt de snapshots van de camerastreams voor het versturen van meldingen van de Eufy-app. Bij de melding zie je dit stilstaande beeld, zodat je vanuit de notificatie meteen ziet wat er precies aan de hand is. Eufy zegt dat deze thumbnails kort en veilig gehost worden op een AWS-cloudserver. Volgens Eufy voldoen ze hiermee aan de GDPR-standaarden en andere privacyregels. Ze voegen daaraan toe dat de beelden meteen verwijderd worden als de meldingen verwijderd worden of het account afgesloten wordt.
Dat laatste bestrijdt Moore. In een tweede video laat hij zien dat de beelden ook na het verwijderen van een notificatie nog te downloaden zijn, zolang je de link uit de broncode van het webportaal nog hebt. Deze link zou nog 24 uur bruikbaar zijn. Of de beelden nog langer dan 24 uur bewaard worden, is nog de vraag.
Eufy zegt tegen MacRumors dat er wel sprake is van een gebrek aan communicatie naar de gebruikers toe en dat ze hier wijzigingen in gaan aanbrengen. In de Eufy Security-app komt bij de instellingen van pushmeldingen te staan dat thumbnails van de camerabeelden tijdelijk in de cloud opgeslagen worden. Daarbij wordt in al het marketingmateriaal, bijvoorbeeld op de website, duidelijker aangegeven dat cloudservers gebruikt worden voor het tonen van meldingen in pushberichten.
Het is niet de eerste keer dat Eufy in het nieuws komt wat betreft privacy. Er was al eens een Eufy-privacylek waardoor een zeer beperkt aantal gebruikers mee konden kijken met beelden van anderen. Dit was destijds binnen een uur opgelost.
Zie ook ons overzicht van HomeKit-beveiligingscamera’s, waarin ook een aantal camera’s staan die geen eigen clouddienst gebruiken en louter werken met HomeKit en HomeKit Secure Video.
- 2023 - 01 februari: Artikel bijgewerkt met nieuw statement van Eufy, waarin beloofd wordt dat alle beelden met end-to-end encryptie versleuteld worden.
- 2022 - 06 december: Artikel bijgewerkt na doorvoeren van wijziging aan Eufy-app.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Waarom jouw Apple Watch-sportbandje misschien toch niet zo gezond is (19-12)
- Met deze hoes krijgt je AirTag een batterijduur van 10 jaar (19-12)
- Yale Linus L2-slot werkt nu met HomeKit dankzij Matter-update: zo stel je het in (18-12)
- Eufy brengt nieuwe 4K binnencamera met HomeKit uit (maar in de Apple Woning-app zie je alleen 1080p) (16-12)
- AirTag 2 komt in 2025: dit zijn de nieuwe functies en verbeteringen die je kan verwachten (16-12)
Reacties: 29 reacties