[English]Reolink bietet Überwachungskameras für diverse Aufgaben an. Zum Zugriff auf die Kamera steht die Reolink-App für Android zur Verfügung. Die neuesten App-Versionen kommen aber mit drei chinesischen Trackern daher, die im Oktober 2024 stillschweigend integriert wurden.
Anzeige
Reolink Überwachungskameras
Die Firma Reolink bietet ein ganzes Sammelsurium an Überwachungskameras für den Home- und Objektbereich an und ist auch in Deutschland auf dem Markt (direkt und über Plattformen wie Amazon oder Händler) vertreten.
Laut eigener Aussage ist die im Jahr 2009 gegründete Firma Reolink ein innovativer Marktführer im Bereich intelligenter visueller Technologie für das Zuhause. Laut der Webseite der Firma ist es das Unternehmensziel, die Haussicherheit durch bahnbrechende, zuverlässige und kundenorientierte Lösungen in die Zukunft zu führen.
Die Firma ist in chinesischer Hand und in Hongkong angesiedelt, wie ich dem Impressum der Webseite entnommen habe. Außerhalb Chinas tritt Reolink selbst mit einer Webseite auf, hat aber auch Distributoren, die die Produkte vertreiben. Ich habe mal auf Trustpilot geschaut, bei 2031 Bewertungen wird ein Wert von 3,2 (drei Sterne) bezüglich der Kundenzufriedenheit erreicht.
Anzeige
Die Reolink Android-App
Zum Zugriff auf die Sicherheits- und Überwachungskameras bietet das Unternehmen Software und Apps an. Für Android gibt es eine Reolink-App, die über eine Million mal aus dem Google Play Store heruntergeladen wurde.
In der App-Beschreibung wird die Reolink-App als eine einfach zu bedienende "Sicherheitskamerasystem Überwachung App" angepriesen. Die App ermöglicht Nutzern lokal oder aus der Ferne einen Zugriff auf Kameras und Aufzeichnungsgeräte (NVR) mittels mobiler Geräte. Nutzer können Live-Streaming von den überwachten Objekten überall und jederzeit beobachten. Wenn ich es richtig sehe, speichert die App die Videobilder der Kameras in der Reolink-Cloud.
Die App kommt mit chinesischen Trackern
Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook auf eine neu entstandene Diskussion rund um die Reolink Android App hingewiesen (danke dafür). Auf reddit.com gibt es seit zwei Tagen den Thread Reolink Android App now includes 3 chinese trackers, auf den ich hier mal hinweisen möchte.
Der Thread-Starter fragt sich, ob es einem der App-Nutzer aufgefallen ist, dass die seit dem 24.10.2024 ausgerollte Version 4.50.0.4 der Reolink Android App mit drei chinesischen Trackern daher kommt. Reolink habe diese stillschweigend in seine Android App integriert.
Der Thread-Ersteller verweist auf die Auswertung von Exodus, die im Code der Android-App Signaturen von folgenden Trackern gefunden haben.
Bezüglich WeChat Location heißt es, dass dieser Dienst an Tencent und die chinesische Regierung angegliedert sei.
Der Thread-Starter fragt auf reddit.com berechtigt, warum die Reolink Android-App auf drei chinesische Ortungsdienste zurückgreifen muss, wenn die Sicherheits- oder Überwachungskamera außerhalb Chinas betrieben wird.
Aber die Geschichte geht noch weiter, denn die App fordert von Android neu Berechtigungen an, die es ich in sich haben. Dazu gehören Berichtigungen wie READ_PHONE_STATE (Telefonstatus und Identität lesen), oder READ_PRIVILEGED_PHONE_STATE, und RECEIVE_BOOT_COMPLETED. Auch DOWNLOAD_WITHOUT_NOTIFICATION, RECORD_AUDIO oder ACCESS_FINE_LOCATION hören sich nicht wirklich harmlos an.
Die Liste der 38! Berechtigungen lässt sich auf der Exodus-Auswerteseite einsehen. In der Exodus-History lässt sich erkennen, dass ursprünglich nur Google Analytics als Tracker verwendet wurde und es wurden auch weniger Berechtigungen angefordert.
Warum braucht die Reolink Android-App diese Berechtigungen? Manche Berechtigungen hängen vermutlich mit App-Funktionen zusammen. So kann der App-Besitzer per Smartphone mit Door-Bell-Kameras kommunizieren und mit dem Besucher vor der Türe sprechen.
Aber der Thread-Starter fragt in meinen Augen berechtigt, ob die Reolink Android App nun nicht nur Eindringlinge an den überwachten Objekten verfolgt, sondern auch den Nutzer der App trackt. Nutzt wer aus der Leserschaft die Reolink-Kameras und die Reolink-Software? Falls ja, wie sichert ihr das im Unternehmensumfeld ab? Gibt es alternative Software, um die Videosignale der Kameras abzugreifen und lokal aufzuzeichnen?
Überwachungskameras an latentes Risiko
Abseits des obigen Themas mit der Reolink Android-App lauert bei Überwachungskameras ein latentes Risiko, dass deren Bilder durch Fehlkonfigurierungen öffentlich werden. Anfang des Monats ist mit folgender Tweet untergekommen:
Hunderte Polizei-Kameras, die Nummernschilder erfassen, wurden durch eine Fehlkonfigurierung öffentlich ins Internet gestreamt. Ein Datenschutzforscher hat diese Datenströme in eine Echtzeit-Datenbank umgewandelt, die Fahrzeugbewegungen und -informationen aufzeichnet und damit deutlich macht, wie invasiv diese Technologie ist. Details dazu finden sich in diesem Artikel.
Anzeige
Ich gestehe … ich nutze mehrere Reolink-Kameras im privaten Bereich, da mich die Qualität der Geräte und Aufnahmen absolut überzeugt. Allerdings "nur" als IP-Geräte mit entspr. Open-Source Software auf dem PC.
Eine chinesische App kommt mir nicht auf's Smartphone bzw. Tablet … never ever!
"Eine chinesische App kommt mir nicht auf's Smartphone bzw. Tablet … never ever!" Das gilt nicht nur für chinesische Apps auch alles Google, Microsoft und Apple Zeugs ist verseucht mit Tracking und Schnüffellei. Grundsätzlich sollten nur Open-Source Apps genutzt werden, die kann man selbst bauen und sehen was drin ist.
Blöderweise ist bei neueren Modellen der Zugriff über HTTP von Werk aus deaktiviert, d. h. man wird gezwungen die App zu verwenden – zumindest einmalig, um den Zugriff wieder freizuschalten.
Ich verwende auch Reolink Kameras und hatte auch die APP auf dem Smartphone, bis diese zu viele Rechte wollte, da habe ich die runtergeworfen. Jetzt habe ich auch die Erklärung, warum :-)
Ich Nutze zuhause auch mehrere Reolink Kameras. Allerdings sind diese für jeglichen Traffic geblockt. Die Wiedergabe zuhause läuft über den Reolink NVR der ebenfalls nur offline agiert. Pushbenachrichtigungen an die Iphone App sind über eine eigene Freigabe in der Firewall freigegeben (Push läuft über eine eigene IP). Versuchter Traffic in die Heimat ist aktuell nicht zu erkennen. Zugriff von Außen ausschließlich per VPN.
In der Firma nutzen wir auch ein paar Reolink Kameras, die wie alle anderen auch nach außen geblockt sind. Die Wiedergabe erfolgt hier über eine Synology.
Das hilft aber nichts gegen Tracker in der App, oder? Oder kennst Du eine vernünftige Application Firewall für iOS, die im Whitelist-Modus betrieben werden kann, die also alles blockt, was nicht explizit manuell freigegeben wird? Analog z.B. Opensnitch für den PC? Ich wäre für Tipps dankbar.
Nutze schon seit mehreren Jahren NetGuard.
https://netguard.me/
Kann sehr umfangreich angepasst werden.
@Anonym
Das mache ich auch. Trotzdem sollte man Vorsicht walten lassen.
Netguard hat seine Grenzen.
Wenn man z.B. sein Handy neu startet, dann werden trotzdem Tracker Daten verschickt. Je nachdem ob der Hintergrund Dienst des Trackers schneller geladen wurde als Netguard die Firewall aufgebaut hat. Vor allem mit großen hosts Listen dauert das manchmal.
Daher gibt es den Tip, vor dem Neustart den Flight Modus zu aktivieren und erst nach vollständigem Hochfahren wieder zu deaktivieren.
Aber das mache ich zugegebener Maßen auch nicht.
Wenn ich einer App überhaupt nicht traue, dann habe ich sie "meistens" nicht installiert oder auf einen 2. (sauberen) Handy installiert. Dann gibt es nicht viele Tracking Daten.
Das gibt es nur anscheinend leider nicht für iOS.
Die Verwendung einer Cloud basierten App für Überwachungskameras ist keinesfalls zu verantworten. Die Kameras gehören in ein VLAN ohne jeglichen Zugang zu weiteren Diensten oder gar dem Internet eingesperrt.
Günter, da müsste es einen viel größeren Aufschrei um Tracking in Apps geben! Und warum sind die Apps chinesischer Anbieter das Problem? Da reicht schon ein Blick zu den Apps die derzeit von deutschen Supermarktketten angeboten werden. Die strotzen nur so vor Trackern!
Ja, es geht im Artikel um Kameras, die vielleicht einen intimen Bereich erfassen können. Aber wer sich solche Kameras in die Wohnung, ans Haus oder Grundstück hängt, diese via Cloud betreibt, sollte sich bewusst sein, das der Zugriff auf die Daten höchstwahrscheinlich nicht nur einem selbst möglich ist!
Die ganze Diskussion um Tracking in Apps greift zu kurz, zumal Android oder iOS den Nutzer ohne zutun schon tracken ohne Ende. An Google werden alle 20 Minuten Daten gesendet, rein ohne eine Interaktion vom Nutzer.
Dagegen wehren wird schwer, man kann es aber eindämmen mit entsprechenden Apps (z.B. Netguard, Rethink) oder dem Wechsel auf Systeme wie GrapheneOS. Das alles umzusetzen bedeutet aber Arbeit, sich immer wieder damit auseinanderzusetzen.
Meine Frau hat bei Amazon zwei Kameras geschossen, eine mit, eine ohne Akku, ansonsten sehr ähnlich.
Kosten: Unter 30 € pro Kamera. Qualität: Mit 150 € Reolink Kameras vergleichbar.
Mir ist vollkommen klar, das geht nur, indem 'anders' Geld verdient wird.
Kameras soweit ich weiß nur über Cloud nutzbar. Software: CloudEdge.
Ich hab die Kameras ins Fritzbox Gast Netzwerk gepackt. Wir überwachen Stall und Vorhof damit, Aufzeichnung findet (zumindest von unserer Seite) nicht statt.
Klar bezahle ich mit irgend etwas, aber offensichtlich bei den deutlich teureren Reolink ja auch.
Ich verwende selbst zwei Reolink-Kameras, seit ich leztes Jahr dreimal Einbrecher bei mir hatte (die hatten nur keinen Erfolg, weil ich jedes Mal daheim war).
Die Aufzeichnung erfolgt NICHT in die Cloud sondern lokal auf microSD und zu den dunklen Stunden zusätzlich auf einen SFTP-Server.
Ich verwende zwar die Reolink-App unter iOS, aber da geht es mir hauptsächlich um die Notifications (Personen-Ekennung), die durchaus nützliche Gegensprechen-Funktion und darum die internen Aufzeichnungen schnell und einfach sichten zu können, sowie diese bei Bedarf herunterzuladen.
Man könnte die Kamera auch z.B. in Synology Surveillance Station einbinden. Jedoch haben meine Kameras zwei Objektive und die Synology-App zumindest kann nur eines davon anzeigen. Ich weiß nicht, wie es bei anderen Apps ist.
Die Kamera unterstütz grundlegend mehrere Protokolle und könnte damit bei allen erdenklichen Systemen eingebunden werden.
Schlimm, aber befasst euch mal damit, welche Apps auch aus anderen Ländern mit wievielen und welchen Trackern kommen? Tipp: Es gibt bei den nennenswert grossen Apps keine ohne diverse Tracker.
Viele detaillierte Infos dazu gibt es im Kuketz-Blog, der von GB hier im Blog auch schon mal erwähnt wurde:
https://www.kuketz-blog.de/
Sowie
https://reports.exodus-privacy.eu.org/
Ich staune immer über den wunderbaren Aboutism: "die anderen machen das aber auch …"
Im englischen Blog kam jemand um die Ecke "in Europa ist es Sport, auf chinesische Hersteller zu schlagen, man sollte doch mal anfragen, ob die den Tracker überhaupt nutzen", garniert um den "Tipp", den DuckDuckGo Privacy Browser zu nutzen, der das alles unterbinde. Hab dann eine deutliche Antwort verfasst – es ist Aufgabe des Herstellers, transparent zu werden – und es ist Entscheidung der Nutzer, ob sie reagieren. Als Blogger weise ich auf Sachverhalte hin (wie beispielsweise der VW-Skandal mit Tracking-Daten, gesammelt per App, bei Subaro scheint es was ähnliches zu geben).
Zur App-These: Tracker und Tracker sind oft zwei paar Schuhe – und ja, neben dem erwähnten Mike Kuketz habe ich mir auch einige Apps angeschaut und von Fall zu Fall entschieden, ob ich das Wagnis eingehe oder nicht. Auf meinen Geräten sind aber auch nur recht wenige Apps installiert – einige Open Source. Ich handle mir oft den Ruf eines "Spinners" ein – Argumentation "die, und die App ist doch so cool, und Datenschutz ist übertrieben", Rewe-Punkte kassieren, Bezahlen mit der Penny- oder Lidl-App usw.
Ich sitze dann so da, blogge vor mich hin, und dann kommt gelegentlich eine diebische Freude auf, wenn mal wieder was einschlägt, wo der App-Nutzer in eine feine Falle gerauscht ist (ungewollte Zahlungen, plötzlich irgendwo angemeldet, wo man keine Ahnung hatte usw.). Einige 1N Telecom GmbH Geschädigte scheinen über Gewinnspiele bei Discountern (ob über Apps aktiviert, konnte ich nicht herausfinden) eingesammelt worden zu sein. Muss jeder entscheiden, ob er sich den Stress antun will, das juristisch auszufechten.
Und spätestens, wenn Werbung über Inkontinenzzubehör ins Haus oder auf das Gerät kommt und man beim Blick in den Ausweis feststellt, dass man schon etwas älter ist, sollte man vielleicht hinterfragen, woher die Absender auf diese Idee kommen ;-).
Und das, was demnächst per KI auf uns zukommt, habe ich jetzt noch gar nicht angesprochen. Von daher viel Spaß mit euren vielen Apps in naher Zukunft.
Es ist kein Whataboutism "die anderen machen das aber auch …", sondern ein sachlicher Hinweis, auch bei anderen viel genauer hinzusehen und das Tracking generell und überall entspr. zu kritisieren.
"Die Firma ist in chinesischer Hand.." Einfach aufwachen und egal ob Technik, Nonfood, Food oder was auch immer aus diesem Land kommt, rigoros vermeiden – allein die Entsorgungskosten dieses Mülls – die wir bezahlen, warum eigentlich? – dürfte zwztl. in die Milliarden gehen.
Politisch wären m.M. ganz andere Maßnahmen erforderlich – aber wir sind ja so abhängig. Warum: Geld regiert die Welt und – Lobbyisten aber nicht Politiker.
Ohne Technik und Teile aus diesem Land steht Deutschland still. Absolut still.
Abseits der "alles dicht machen" Haltung: Der obige Beitrag hatte das Ziel, die Leute auf die latente Entwicklung hinzuweisen. Ich hatte bereits vor Jahren versucht, auf das Problem aufmerksam zu machen, dass chinesische Produkte wegen der fehlenden Datenschutzleitlinien massive Datenschutzprobleme verursachen werden – ich möchte nicht mal bösen Willen unterstellen – die Entwickler haben einfach kein Gespür, was außerhalb Chinas eventuell zu berücksichtigen wäre.
Übrigens einer der Gründe, warum ich hier im Blog keine sponsored Posts für deren Gadgets, Apps und Software veröffentliche (Anfragen gäbe es genug).
Gerade diskutiert die Welt über Deepseek und deren AI-Modell R1. Deutsche Datenschützer zeigen, dass irre viel Daten nach China gehen – eigentlich ein "Finger weg Thema". Aber Microsoft integriert Deepseek R1 binnen 10 Tagen in Azure und lässt es auf die Menschheit los. Womit wir den anderen Elefant im Raum hätten.
@Anonym @Günter Born – Alles richtig u. unwidersprochen.
Ändert aber nichts an meinem Apell möglichst "rigoros vermeiden".
Paßt doch wunderbar der heutige Artikel von Günter: CISA: Backdoor in Patientenmonitor-System Contec.
Schönes Wochenende an alle
Ja, Du musst alles "rigoros vermeiden". Aus jedem Land. Das gilt es zu verstehen.
Ich hatte hier zum testen eine Foscam B4 (Solar!) – das Teil lässt sich ohne ein Foscam Konto nicht einmal installieren oder konfigurieren! Und das schöne ist, das steht nicht einmal auf der Verpackung oder der Internet Produktseite, geschweige den im Datenblatt! Das ist echter DSGVO-Elektro Schrott!
Ich bin mit der ReoLink Argus Eco Ultra recht zufrieden, wobei die Software selbst bei den Akku/Solar Modellen wirklich noch Verbesserungsfähig sind. Die iPAD App sind ok, Aufzeichnung auf SD oder SFTP – kein Cloud Zwang!
Danke für den Artikel – ich habe vor den Kameras eh' einen pi-hole auf einem Raspberry – das kann ich jedem nur empfehlen; und jetzt gleich mal einen RegEx Filter auf (^|\.)tencent\.com$, (^|\.)amap\.com$, (^|\.)baidu\.com$ gesetzt. Wenn man zu viel Tracker sperrt, sagt die "App" auf dem Handy übrigends sinngemäß "die Geräte sind nicht verbunden". Vor einigen Wochen ging das tatsächlich auch noch mit mehr Filterung (ich dachte erst an einen Hardwarefedekt) – unsere lieben Chinesen – sind doch alles unsere Freunde sagt die "Politik" :-)
Big Brother is watching you!
Ich befürchte, daß es weitaus schlimmer ist – George Orwell rotiert…
Ich benutze zwar keine Smartphone-Apps für Reolink, aber die Windows-Software 8.17.6.
Solange Reolink in der Firewall nicht blockiert ist, funktioniert sie einwandfrei mit Speicherung auf der SD-Karte in der Kamera.
Blockiere ich hingegen in der Firewall Reolink, habe ich keinen Zugang mehr zum Livebild und angeblich ist keine SD-Karte in der Kamera vorhanden, auf die sonst problemlos gesichert wird.
Allerdings arbeitet der Email-Versand bei Detektion.
Im Systemprotokoll tauchen einige Internetadressen auf:
[14:12:30.325]5(0):193.123.95.178,,v=1,c=1.1
[14:12:30.337]0(2):127.0.0.1,,v=0,c=1.1
[14:12:30.348]tl: id=0.150000.-1.-1
[14:12:30.348]reset all socket 4 1(0)
[14:12:30.348]8(0):129.158.224.26,,v=1,c=1.1
[14:12:30.350]14(0):127.0.0.1,,v=0,c=1.1
[14:12:30.351]reset all socket 6 0(1)
[14:12:30.421]15(0):127.0.0.1,,v=0,c=1.1
[14:12:30.425]13(0):127.0.0.1,,v=0,c=1.1
[14:12:30.426]9(0):129.213.189.52,,v=1,c=1.1
[14:12:30.427]12(0):152.67.124.211,,v=1,c=1.1
[14:12:30.428]7(0):52.56.65.139,,v=1,c=1.1
[14:12:30.429]10(0):144.24.42.1,,v=1,c=1.1
[14:12:30.431]2(0):16.163.195.33,,v=1,c=1.1
[14:12:30.437]6(0):15.188.197.53,,v=1,c=1.1
[14:12:30.446]11(0):129.152.22.102,,v=1,c=1.1
[14:12:30.530]0(1):119.23.230.154,,v=1,c=1.1
[14:12:30.530]1(0):132.226.204.68,,v=1,c=1.1
Wird die Sperre für Reolink in der Firewall deaktiviert ist alles wieder normal.
Beunruhigt mich etwas – was passiert da im Hintergrund?
https://www.abuseipdb.com/check/15.188.197.53
https://www.abuseipdb.com/check/129.152.22.102
https://www.abuseipdb.com/check/119.23.230.154
z.b.
Alles mit Rang und Namen … ;-)
Aber ob die alle bei der Kamera / Software Ihre Finger im Spiel haben?!?!
Habe soeben die Windows-Software Reolink 8.17.6 (reolink_HD-GGO1.exe) von Reolink Client in VirusTotal testen lassen, nachdem mir Windows Defender sie als verdächtig anzeigte: 33/71 Detektionen!
Wenn du die Reolink Windowsapp in der Firewall sperrst ist ja klar das du keinen Zugriff mehr auf die Kamera hast. Wenn du aber im Browser die IP der Kamera eingibst ist alles über die Weboberfläche zu bedienen.
Hab auch mehrere Reolink Cams im Netzwerk deren Zugang im Router zum Internet gesperrt ist. Werder eine App noch Software auf Betriebssystemebene benutze ich.
Die Cams sind in Frigate eingebunden welches in HA OS ins Smarthome eingebunden ist. Speicherung auf einem NAS.
Zugriff von außen über PIVPN und Benachrichtigungen über HA Automatisierungen und alles funktioniert einwandfrei.
Meiner laienhaften Meinung nach, würde ich unterstellen, du hast viele große Brüder:
Big Brotherhood is watching you!
Immerhin reden wir von "Überwachungskameras" ;-)
Die Frage ist halt, wer überwacht wen: https://www.kuketz-blog.de/shodan-suchmaschine-fuer-das-internet-of-shit/
Schau mal, ob du deine Kamera dort findest und zieh ggf. den Stecker.