{"id":275566,"date":"2022-11-30T02:54:58","date_gmt":"2022-11-30T01:54:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275566"},"modified":"2023-11-30T17:13:45","modified_gmt":"2023-11-30T16:13:45","slug":"anker-eufy-door-bell-sicherheitskameras-mit-schwachstellen-daten-werden-in-die-cloud-bertragen-homebase-2-hat-auch-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/30\/anker-eufy-door-bell-sicherheitskameras-mit-schwachstellen-daten-werden-in-die-cloud-bertragen-homebase-2-hat-auch-schwachstellen\/","title":{"rendered":"Anker Eufy Door Bell Sicherheitskameras mit Schwachstellen, Daten werden in die Cloud übertragen, Homebase 2 hat(te) auch Schwachstellen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Anker Eufy Door Bell-Sicherheitskameras werden auch in Deutschland verkauft. Ein Sicherheitsforscher hat nun verschiedene Sicherheitsl\u00fccken in der Firmware der Eufy-Kameras gefunden. Diese \u00fcbertragen Benutzerbilder und Gesichtserkennungsdaten ohne Zustimmung des Benutzers in die Cloud. Der Sicherheitsforscher gibt zudem an, auf Live-Kamerabilder ohne jegliche Authentifizierung zugegriffen zu haben. Der Eufy-Support hat wohl einige der Probleme best\u00e4tigt. Weiterhin ist der Smart Hub Eufy Homebase 2 \u00fcber drei Schwachstellen angreifbar und Hacker k\u00f6nnten das Ger\u00e4t \u00fcbernehmen.<\/p>\n

<\/p>\n

Eufy Sicherheitskamera streamt in die Cloud<\/h2>\n

\"\"Der britische Sicherheitsforscher Paul Moore hat sich k\u00fcrzlich eine Eufy Doorbell Dual Sicherheitskamera gekauft und angenommen, dass dieses Ger\u00e4t die Daten lokal speichert und die Aufnahmen sicher sind. Moore ist ein Verfechter des \"alles lokal und nicht in der Cloud speichern und hat sich auf die Angaben des Herstellers verlassen, dass dem so ist. Als er das Ger\u00e4t in Betrieb nahm und das Ganze n\u00e4her untersuchte, kam er aus dem Staunen nicht heraus.<\/p>\n

\"Eufy<\/a><\/p>\n

Die Sicherheitskamera streamt, entgegen der Angaben des Herstellers, die aufgenommenen Videobilder in die AWS-Cloud, wie er in obigem Tweet<\/a> und diesem YouTube-Video<\/a> angibt. Am 21. November 2022 stellt er in diesem Tweet<\/a> die Frage, warum die Kamera alle aufgenommenen Gesichert ohne Verschl\u00fcsselung auf den Servern des Unternehmens speichert. Er selbst habe keine Cloud-Speicherung eingerichtet und hat auch kein AWS-Cloud-Konto. Zudem fragte er, warum er auf die\u00a0 Live-Bilder der \u00dcberwachungskamera ohne Authentifizierung zugreifen k\u00f6nne.<\/p>\n

Die Kollegen von Android Central haben das Ganze dann in diesem Artikel<\/a> n\u00e4her aufbereitet. Laut Moore \u00fcbertragen die Eufy Door Bell-Sicherheitskameras sowohl Benutzerbilder\u00a0 als auch Gesichtserkennungsdaten an die Cloud. Dies geschehe ohne Zustimmung des Benutzers (dann Moore hatte kein Cloud-Konto eingerichtet und vertraute darauf, dass die Daten lokal blieben). Zudem war es Moore m\u00f6glich, ohne Authentifizierung auf die in der Cloud gespeicherten Daten zuzugreifen, wenn er die betreffende URL angeben konnte. Konkret brauchte er nur die richtige URL einzugeben. Die Videos waren zwar mit AES 128 verschl\u00fcsselt, aber der verwendete Schl\u00fcssel war in seinem Fall mit dem Schl\u00fcssel ZXSecurity17Cam@ \"gesch\u00fctzt\".<\/p>\n

\"Eufy<\/a><\/p>\n

Der Eufy-Support hat sich dann mit obiger Stellungnahme gemeldet und den technischen Sachverhalt erkl\u00e4rt. Der Antwort l\u00e4sst sich entnehmen, dass Daten an einen Backend-Server in der Amazon Cloud (AWS) geschickt werden und dass der Server dann Miniaturbilder (Thumbnails) generiert, die der Nutzer in seiner App sehen k\u00f6nne. Die Aufzeichnungen der Kamera w\u00fcrden lokal gespeichert. Laut Eufy-Support sollen die \"Probleme\", die Moore benannt hat, nicht auftreten, wenn der Benutzer keine Miniaturansichten f\u00fcr Kamerabotschaften aktivieren. Diese Miniaturansichten werden f\u00fcr Push-Benachrichtigungen an die Cloud gesendet.<\/p>\n

Moore best\u00e4tigte gegen\u00fcber Android Central, dass einige der Probleme inzwischen per Update behoben wurden. Allerdings kann er nicht best\u00e4tigen, dass die Daten in der AWS-Cloud korrekt gel\u00f6scht werden. Moore lebt zwar in Gro\u00dfbritannien, hat Android Central aber mitgeteilt, dass er rechtliche Schritte gegen Eufy wegen eines m\u00f6glichen Versto\u00dfes gegen die Datenschutzgrundverordnung (DSGVO) eingeleitet hat. Der Eufy-Support gibt an, dass man per App-Update nun klarer hervorheben will, welche Daten an die AWS-Cloud \u00fcbertragen werden. Der Artikel<\/a> von Android Central enth\u00e4lt noch einige Details.<\/p>\n

Eufy Homebase 2 mit Schwachstellen<\/h2>\n

Bei der Recherche zu diesem Artikel bin ich dann auf einen weiteren (\u00e4lteren) Beitrag zu Eufy-Produkten gesto\u00dfen. Von Eufy (eine Marke von Anker) gibt es die Eufy Homebase 2 zur Heimautomatisierung. Die Homebase 2 bietet Speicher- und Verwaltungsfunktionen f\u00fcr andere Eufy Smart Home-Ger\u00e4te wie T\u00fcrklingeln, Alarmanlagen und Kameras. In folgendem Tweet<\/a> weist jemand darauf hin, dass die Eufy Homebase 2 ebenfalls drei Schwachstellen aufweist.<\/p>\n

\"Eufy<\/a><\/p>\n

Der Artikel hier<\/a> berichtet, dass Sicherheitsforscher von Cisco Talos die nachfolgenden drei gef\u00e4hrlichen Sicherheitsl\u00fccken in der Eufy Homebase 2 gefunden haben.<\/p>\n