Eufy erkent dat camerabeelden niet altijd end-to-end versleuteld waren, bedrijf belooft verbetering

Eufy erkent dat camerabeelden niet altijd end-to-end versleuteld waren, bedrijf belooft verbetering

Eufy, maker van populaire beveiligingscamera's voor HomeKit, bleek niet duidelijk te zijn over hoe de camerabeelden gebruikt worden. Het bedrijf bleek beelden naar de cloud te uploaden, zelfs als je dit uitgeschakeld hebt. Inmiddels heeft het bedrijf gereageerd en een aanpassing in de app doorgevoerd. Maar er speelt nog een ander probleem.
Benjamin Kuijten -

Update 1 februari 2023: Na vele maanden onduidelijkheid, geeft Eufy nu eindelijk tekst en uitleg over de gehele situatie rondom haar beveiligingscamera’s. Hoewel het bedrijf altijd te kennen heeft gegeven dat de camerabeelden end-to-end versleuteld zijn, hebben onderzoekers aangetoond dat dat niet altijd het geval is. Eufy ontkende dit lange tijd, maar nu heeft het bedrijf tegenover The Verge eindelijk opgebiecht hoe het echt zit. Camerabeelden via de Eufy Security-app waren en zijn altijd end-to-end versleuteld, maar dat gold niet voor de streams op het inlogportaal via het web. Een tijdje geleden besloten de ontwikkelaars van Eufy om de livestream toe te voegen aan het webportaal, zodat gebruikers ook vanaf de desktop de beelden kunnen bekijken. Maar daarbij is geen end-to-end encryptie toegepast. Door een link van de stream uit de code van het webportaal te halen, kon deze gebruikt worden in videospelers zoals VLC. Iedereen die zo’n link had, kon dus meekijken met de beelden.


De link was alleen te achterhalen na het inloggen met het Eufy-account, maar eenmaal ingelogd kon iedereen met de link de beelden bekijken. Eufy heeft nu maatregelen genomen, waardoor het niet meer mogelijk is om deze link te achterhalen en heeft tegelijkertijd end-to-end versleuteling toegepast. Het bedrijf voegt eraan toe dat de Homebase 3 en eufyCam 3/3C uit oktober 2022 gebruikmaken van WebRTC voor de end-to-end versleuteling en dat elk huidige Eufy-camera hiervoor een update krijgt. Door deze versleuteling kan alleen de gebruiker de beelden bekijken.

The Verge heeft al haar vragen en de antwoorden van Eufy gepubliceerd. Het bedrijf achter de camera’s hoopt daarmee schoon schip te maken en het vertrouwen van gebruikers terug te winnen. Daarin benadrukken ze nogmaals dat nu alle streams met end-to-end encryptie versleuteld zijn, inclusief die van het webportaal.

Update 17 december 2022: Eufy blijkt veel beloften op het gebied van privacy simpelweg van de website te hebben gewist. Het gaat om 10 beloften die ter discussie werden gesteld en nu geheel zijn verdwenen.

Update 6 december 2022: Eufy heeft inmiddels een wijziging aan de app doorgevoerd. Zoals eerder beloofd is Eufy nu eerlijker over het gebruik van (tijdelijke) cloudopslag bij het versturen van pushnotificaties met thumbnails. Om een melding met daarin een screenshot van een camerabeeld te tonen, wordt een stilstaand beeld tijdelijk in de cloud geupload. In de meldingsinstellingen van de Eufy-app kun je aangeven wat er in de meldingen moet staan. Je kunt er dus ook voor kiezen om geen pushberichten met screenshot te ontvangen, om te voorkomen dat beelden in de cloud opgeslagen worden.

Eufy update in de App Store over gebruik van cloud in meldingen

Hoewel Eufy nu transparanter naar gebruikers is over hoe de beelden gebruikt worden, speelt er nog een ander probleem dat misschien nog wel groter is. Het zou nog steeds mogelijk zijn om een stream van de camera te bekijken via een app van derden, zoals VLC, zolang je de link naar de desbetreffende stream hebt. Daarbij zou het niet nodig zijn om je te verifiëren. Wel is toegang tot het webportaal van je Eufy-account nodig, maar als je eenmaal de link hebt kun je de stream bekijken. Eufy zou de gemelde problemen nog aan het onderzoeken zijn.

Hieronder volgt het oorspronkelijke artikel van 30 november 2022
Eufy, een merk van Anker, is gespecialiseerd in diverse soorten beveiligingscamera’s en deurbellen. Sommige daarvan werken met HomeKit en ze zijn ook allemaal te bedienen met de Eufy Security-app. Daarin kun je ook kiezen om je te abonneren op een clouddienst, waarop de beelden opgeslagen worden zodat je ze op meer plekken kan bekijken. Als je dat vanwege privacyredenen liever niet hebt, kun je dit gewoon uitschakelen. Maar een onderzoeker ontdekte dat Eufy toch camerabeelden opslaat in de cloud, zelfs als je de cloudopslag niet gebruikt. Wat is hier aan de hand?

Eufy uploadt camerabeelden naar de cloud

Beveiligingsonderzoeker Paul Moore ontdekte dat Eufy camerabeelden in de cloud zet. Hij heeft daar een demonstratievideo van gemaakt om te laten zien waar en hoe Eufy dat doet. In de broncode van het online portal is een link te achterhalen waar een shot van je camerabeeld te zien is. Hij schakelt ook de HomeBase uit om te bewijzen dat de beelden daadwerkelijk in de cloud staan, want na het uitschakelen van de bridge zijn de beelden nog steeds online te bekijken. Het gaat hierbij om snapshots van de camerastream, dus niet om bewegende beelden.

Click here to display content from YouTube.
Learn more in YouTube’s privacy policy.

Eufy gebruikt ook gezichtsherkenning voor de geüploade beelden. Op Reddit is inmiddels een flinke discussie gaande over deze ontdekking. Het opmerkelijke is dat op de Eufy-website flink geadverteerd wordt over lokaal gebruik van de camera en de privacyvriendelijke maatregelen. Maar het feit dat Eufy snapshots van de camerabeelden uploadt naar de cloud, zonder dat je daar als gebruiker van op de hoogte bent, is nogal tegenstrijdig. Moore laat verder ook zien dat de streams op afstand bekeken kunnen worden via een app als VLC, zonder encryptie of authenticatie. Hoe dat precies werkt en of het hier gaat om een lek, is niet helemaal duidelijk.

Eufy reageert: beelden gebruikt voor pushmeldingen

Eufy heeft inmiddels gereageerd en maakt duidelijk waar de beelden voor gebruikt worden. De cameramaker gebruikt de snapshots van de camerastreams voor het versturen van meldingen van de Eufy-app. Bij de melding zie je dit stilstaande beeld, zodat je vanuit de notificatie meteen ziet wat er precies aan de hand is. Eufy zegt dat deze thumbnails kort en veilig gehost worden op een AWS-cloudserver. Volgens Eufy voldoen ze hiermee aan de GDPR-standaarden en andere privacyregels. Ze voegen daaraan toe dat de beelden meteen verwijderd worden als de meldingen verwijderd worden of het account afgesloten wordt.

Dat laatste bestrijdt Moore. In een tweede video laat hij zien dat de beelden ook na het verwijderen van een notificatie nog te downloaden zijn, zolang je de link uit de broncode van het webportaal nog hebt. Deze link zou nog 24 uur bruikbaar zijn. Of de beelden nog langer dan 24 uur bewaard worden, is nog de vraag.

Click here to display content from YouTube.
Learn more in YouTube’s privacy policy.

Eufy zegt tegen MacRumors dat er wel sprake is van een gebrek aan communicatie naar de gebruikers toe en dat ze hier wijzigingen in gaan aanbrengen. In de Eufy Security-app komt bij de instellingen van pushmeldingen te staan dat thumbnails van de camerabeelden tijdelijk in de cloud opgeslagen worden. Daarbij wordt in al het marketingmateriaal, bijvoorbeeld op de website, duidelijker aangegeven dat cloudservers gebruikt worden voor het tonen van meldingen in pushberichten.

Het is niet de eerste keer dat Eufy in het nieuws komt wat betreft privacy. Er was al eens een Eufy-privacylek waardoor een zeer beperkt aantal gebruikers mee konden kijken met beelden van anderen. Dit was destijds binnen een uur opgelost.

Zie ook ons overzicht van HomeKit-beveiligingscamera’s, waarin ook een aantal camera’s staan die geen eigen clouddienst gebruiken en louter werken met HomeKit en HomeKit Secure Video.

Bekijk ook

Deze HomeKit-camera’s zijn in Nederland verkrijgbaar

Deze HomeKit-camera’s zijn in Nederland verkrijgbaar

Zoek je een camera met HomeKit-ondersteuning, dan kun je bij meerdere fabrikanten terecht. Dit zijn de HomeKit-camera’s waar je uit kunt kiezen en we geven je de beste keuze voor een beveiligingscamera met HomeKit.

Revisiegeschiedenis:

  • 2023 - 01 februari: Artikel bijgewerkt met nieuw statement van Eufy, waarin beloofd wordt dat alle beelden met end-to-end encryptie versleuteld worden.
  • 2022 - 06 december: Artikel bijgewerkt na doorvoeren van wijziging aan Eufy-app.

Reacties: 29 reacties

  1. Joh eerlijk? 😂

  2. Je kunt Eufy camera’s wel aansluiten via Homekit, maar je zult altijd moeten inloggen op de servers van Eufy/Anker. Ook als je dit via Homebridge doet. Mijn advies is om apparatuur van dit soort fabrikanten aan te sluiten op je guest network. Dan krijgen ze geen toegang tot jouw deel van het netwerk. Het nadeel hiervan is dat Homekit dan niet zal werken.

  3. Origineel geplaatst door jw
    Je kunt Eufy camera’s wel aansluiten via Homekit, maar je zult altijd moeten inloggen op de servers van Eufy/Anker. Ook als je dit via Homebridge doet. Mijn advies is om apparatuur van dit soort fabrikanten aan te sluiten op je guest network. Dan krijgen ze geen toegang tot jouw deel van het netwerk. Het nadeel hiervan is dat Homekit dan niet zal werken.

    Dit lost het probleem in dit artikel natuurlijk niet op. Meer een tip voor mensen die al Eufy camera’s hebben.

  4. Waarom komt het nooit in het nieuws als blijkt dat een Chinees bedrijf wél de privacy regels respecteert?

  5. Dit leek me de enige goede vervanging van mijn NEST hello en wat cams. maar ook helaas deze valt dus af.

  6. Ubiquity cameras via HomeBridge is the way to go voor mij. De G4/G3 Instant zijn nog betaalbaar (al zijn ze duurder dan de Eufy maar goed je ziet wat je daarvoor krijgt).

  7. Origineel geplaatst door MLVC
    Ubiquity cameras via HomeBridge is the way to go voor mij. De G4/G3 Instant zijn nog betaalbaar (al zijn ze duurder dan de Eufy maar goed je ziet wat je daarvoor krijgt).

    HomeBridge is leuk, maar niet heel stabiel. Mijn voorkeur gaat toch uit naar apparatuur met Homekit ondersteuning. Echter kijk ik dan wel om welk merk het gaat en hoe ze data versturen. Daarom hangt er ook nog geen videodeurbel voor mijn huis op dit moment

  8. Ubiquity cameras kun je met wat hulpmiddelen ook als secure-homekit laten werken. De camera’s vereisen natuurlijk wel ook andere apparatuur van ubiquity om te laten werken, maar daarmee is het wel 100% on-site en 0% in de cloud.

  9. Origineel geplaatst door jw
    Je kunt Eufy camera’s wel aansluiten via Homekit, maar je zult altijd moeten inloggen op de servers van Eufy/Anker. Ook als je dit via Homebridge doet. Mijn advies is om apparatuur van dit soort fabrikanten aan te sluiten op je guest network. Dan krijgen ze geen toegang tot jouw deel van het netwerk. Het nadeel hiervan is dat Homekit dan niet zal werken.

    Naast je guest en lan netwerk een iot vlan aanmaken en daar je iot-troep in plaatsen is verstandiger. (Je HomeKit device hoeft niet in je lan te staan net zoals je camera niet in hetzelfde netwerk als je HomeKit hoeft te staan. )

  10. Origineel geplaatst door Ro
    HomeBridge is leuk, maar niet heel stabiel. Mijn voorkeur gaat toch uit naar apparatuur met Homekit ondersteuning. Echter kijk ik dan wel om welk merk het gaat en hoe ze data versturen. Daarom hangt er ook nog geen videodeurbel voor mijn huis op dit moment

    Nonsens homebridge is stabiel zolang je het op een beetje stabiele hardware hebt draaien.

  11. Origineel geplaatst door Jeroen
    Waarom komt het nooit in het nieuws als blijkt dat een Chinees bedrijf wél de privacy regels respecteert?

    Ja, nou die zijn er dus niet.

  12. Origineel geplaatst door jw
    Je kunt Eufy camera’s wel aansluiten via Homekit, maar je zult altijd moeten inloggen op de servers van Eufy/Anker. Ook als je dit via Homebridge doet. Mijn advies is om apparatuur van dit soort fabrikanten aan te sluiten op je guest network. Dan krijgen ze geen toegang tot jouw deel van het netwerk. Het nadeel hiervan is dat Homekit dan niet zal werken.

    Origineel geplaatst door PeliileP
    Naast je guest en lan netwerk een iot vlan aanmaken en daar je iot-troep in plaatsen is verstandiger. (Je HomeKit device hoeft niet in je lan te staan net zoals je camera niet in hetzelfde netwerk als je HomeKit hoeft te staan. )

    Ik als leek maar met een Eufy 2K videodeurbel (een alleen wonende vrouw zoals ik voelt zich hier veiliger bij) zou hier meer vanaf willen weten. Heb momenteel met Eufy nog geen connectie met HomeKit gemaakt, maar sta op het punt om dat wel te doen. Weet jij, of een andere lezer, waar ik moet zijn voor meer uitleg en een soort Jip en Janneke stappenplan om jou suggestie, HomeKit “niet in Lan te hebben staan” en een iot vlan aan te maken? En wat daar nu eigenlijk het voordeel van is?

  13. @@8jeT: Dat maakt niets uit voor betreft Eufy, Homekit kun je gewoon verbinding mee maken zonder problemen, echter is en blijft een Eufy account verplicht. Daar zit dus ook het probleem nu. Al zal Eufy vast wel binnenkort hun probleem fixen. even afwachten.

    Extra VLAN etc is overbodig voor thuis als je geen NAS met backups of gevoelige informatie hebt. Zorg dat altijd je laptop tablets en robot stofzuigers etc up-to-date zijn, dan ben je al een heel eind.

  14. Als er bij mijn iemand aanbelde krijg ik geen melding op de telefoon ik heb een eufy met bassis 2 en er is nergens een nl beschrijving wie kan mijn helpen

  15. (Red.) Artikel bijgewerkt na doorvoeren van wijziging aan Eufy-app.

  16. Na de update zijn mijn apparaten verdwenen en moeten opnieuw worden toegevoegd. Fijn als je in het buitenland bent. Ik WAS heel tevreden over Eufy.

  17. Ik ben niet de persoon die gelijk zegt; ooh die Chinese zooi vertrouw je toch niet?

    Ik denk dat Eufy een prima bedrijf is en dat je niet heel bang hoeft te zijn dat je beelden onderschept worden. Maar dit is toch wel een grote deuk in hun reputatie. Op het begin dacht ik nog oooh valt mee, fixen ze snel en dan is het probleem opgelost. Maar nu zou ik toch niet zo snel meer voor Eufy kiezen nu deze soap zo door blijft gaan.

    Heb overigens een robot stofzuiger van ze en daar ben ik heel tevreden over!

  18. De laatste update heeft ervoor gezorgd dat al mijn deurbellen verdwenen zijn…
    Ge wel dig

  19. @Guus: Hier hetzelfde probleem. Ik heb dit weten op te lossen door de Eufy-app te verwijderen, opnieuw te installeren (en in te loggen), toen sprongen automagisch alle apparaten uit mijn Eufy-setup weer tevoorschijn.

    Vreemde is, dat toen ik geen zicht meer had op mijn Eufy-apparaten, de deurbel nog wel steeds een pushmelding bleef geven bij aanbellen. ‘Onder water’ zijn alle Eufy-apparaten bij mij dus toch aanwezig gebleven, ook al zag ik ze niet meer. Ook werden camerabeelden naar HomeKit overgedragen.

  20. Origineel geplaatst door swen
    @@8jeT: Dat maakt niets uit voor betreft Eufy, Homekit kun je gewoon verbinding mee maken zonder problemen, echter is en blijft een Eufy account verplicht. Daar zit dus ook het probleem nu. Al zal Eufy vast wel binnenkort hun probleem fixen. even afwachten.

    Extra VLAN etc is overbodig voor thuis als je geen NAS met backups of gevoelige informatie hebt. Zorg dat altijd je laptop tablets en robot stofzuigers etc up-to-date zijn, dan ben je al een heel eind.

    Dank voor je uitleg.
    Je schreef:”als je thuis geen NAS met backup of gevoelige informatie hebt, extra VLAN niet nodig is”.

    Ik heb thuis wel een backup. Dit zit op een AirPort Time Capsule. En daar staat mijn privéleven, voor mij dus wel gevoelige informatie, op. Alhoewel het geen staatsgeheimen of iets dergelijks zijn, zou ik niet willen dat iemand daar bij kan.

    Nu de update van dit artikel aangeeft dat Eufy alle discutabele privacy punten uit hun voorwaarden hebben verwijderd, begin ik me af te vragen of ik toch iets moet gaan doen met die “extra VLAN”.

    Iemand een link met uitleg in Jip en Janneke taal?

  21. Gewoon geen smart spullen kopen als stofzuigers, lampen deurbel etc, zit je ook met deze issues niet 🙂 .

  22. (Red.) Artikel bijgewerkt met nieuw statement van Eufy, waarin beloofd wordt dat alle beelden met end-to-end encryptie versleuteld worden.

  23. Is er een alternatief en liefst betaalbaar..
    ik stond op het punt van aanschaf (2x cam+deurbel), maar dit weerhoudt mij toch wel

  24. Origineel geplaatst door marcel
    Is er een alternatief en liefst betaalbaar..

    ik stond op het punt van aanschaf (2x cam+deurbel), maar dit weerhoudt mij toch wel

    Ze zeggen toch dat het nu is opgelost. Dan kan je daar wel van op aan. Ze zullen niet 2x de fout maken, want dan zijn ze echt veel klanten kwijt.

  25. Origineel geplaatst door Marc (die andere)
    Origineel geplaatst door marcel
    Is er een alternatief en liefst betaalbaar..

    tja das waar…

    weet iemand of dat je ook een live view heeft?

    en is via homebase3 beter dan bv via Homey?

  26. ok dan is dat ook weer duidelijk. Goed dat er developers zijn die hier naar kijken.
    Waar ik op hoop is dat ze eindelijk een deurbel uitbrengen met Homekit secure video ondersteuning.

  27. Volgens mij is Netatmo wel ok, qua veiligheid. Frans bedrijf. Ik heb een binnencamera en die werk top. Ook met Homekit. Eufy bleef ik qua prijs sowieso al weg. If you pay peanuts, you get monkeys

  28. Ik gebruik de app alleen om terug te kijken en niet hun clouddiensten. Heb in de camera’s geheugen kaarten zitten werkt veel beter. Heb je ook dat gezeur niet van dat versleutelde bestanden. De geheugenkaart die ik in doe versleutel ik zelf dus een ander kan er niks mee.

  29. Origineel geplaatst door Flieps
    Volgens mij is Netatmo wel ok, qua veiligheid. Frans bedrijf. Ik heb een binnencamera en die werk top. Ook met Homekit. Eufy bleef ik qua prijs sowieso al weg. If you pay peanuts, you get monkeys

    Frans bedrijf, et alors?

Reacties zijn gesloten voor dit artikel.