Waren die Anschuldigungen gegen Eufy überzogen?
Ausgelöst von ein paar Diskussionen zum Thema des vermeintlichen Eufy-Datenskandals, die wir im Discord hatten, bin ich noch mal etwas tiefer in die technischen Vorgänge eingetaucht, habe meine Gedanken gemacht und versucht diese zu Ordnen und habe in der Zwischenzeit auch ein offizielles Statement von Eufy bekommen und das will ich kurz etwas aufrollen.
Die Bilder, die Paul Moore öffentlich zugänglich aufrufen konnte, war ein Standbild der Kamera und ein Vorschaubild der erkannten Person, die er selbst über die App hinzugefügt hatte. Diese Bilder sind relevant für benachrichtigungen, die eine Vorschau zeigen, wer oder was vor deiner Haustür los ist.
Diese Bilddaten müssen auf einem dem Internet zugänglichen Server ohne Autorisierung liegen, um in die Benachrichtigungen eingebaut werden zu können. Außerdem muss das alles so schnell wie möglich zu erreichen sein. Sonst siehst du, dass der Postbote da ist, wenn dein Paket schon längst ohne Benachrichtigungskarte beim Nachbarn abgegeben wurde.
Natürlich muss das nicht von einem Cloud-Server ausgeliefert werden. Das könnte auch theoretisch von deiner Klingel oder im Fall von Eufy wohl eher von der Homebase passieren. Dann müsste die aber eben aus dem Internet erreichbar sein, was ein nicht unerhebliches Sicherheitsrisiko darstellt. Außerdem hängt die Geschwindigkeit, mit der die Daten verfügbar sind, dann sehr von deinem Heimnetzwerk ab.
Eufy erstellt stattdessen einen temporären, cryptischen Link, der auf Amazons Cloudfront-Serverinfrastruktur gehostet wird. Jeder mit diesem Link kann diese Bilder öffnen. Das ist erstmal noch kein Problem. Niemand kann diese Links einfach erraten. Um so einen Link konstruieren zu können, brauchst du das Datum der Aufnahme, die zufällige Nutzer-ID des Klingelbesitzers und dann müsstest du noch den Dateinamen und die Sicherheitssignatur richtig raten. So sehen die Links aus:
https://cdn-eu.eufylife.com/thumb/2022/11/29/station/T3033J1377318CA5/b4ktApYOELPvoioz./Camera0O_20221129172317.ipg?X-Amz-Signature=bLase2c4193176c2073cb977da69afa9b8af30de70
Und nach spätestens 48 Stunden sind die Daten sowieso wieder weg. Also musst du dich wirklich beeilen, die ganzen Kombinationsmöglichkeiten zu testen. Mit aktueller Computertechnologie ist es jedenfalls nicht möglichsein, die Kombinationen in deiner Lebenszeit durchzuprobieren, geschweige denn in 48 Stunden.
Also sollten sie sein. Warum die Links noch aktiv waren nach dem Löschen der Einträge in der App? Das ist normales Verhalten, wenn solche Dateien über ein Content Delivery Network ausgeliefert werden. Um möglichst schnell auf deinem Handy landen zu können, liegen die weltweit auf mehreren Computern verteilt und es dauert, bis das Löschen überall angekommen ist. Ohne Eufy hier genau zu durchleuchten, ist von außen schwer zu sagen, ob alles korrekt zugeht.
Allerdings hat das British Standards Institute (BSI) aber genau solche Sachen geprüft und Eufy ein entsprechendes Zertifikat ausgestellt. Dann ist da noch das Statement von Eufy selbst:
eufy Security weist die gegen das Unternehmen erhobenen Vorwürfe bezüglich der Sicherheit unserer Produkte entschieden zurück. Wir verstehen jedoch, dass die jüngsten Ereignisse bei einigen NutzerInnen Besorgnis ausgelöst haben könnten. Wir überprüfen und testen unsere Sicherheitsfunktionen regelmäßig und bitten die Sicherheitsbranche um Feedback, um sicherzustellen, dass wir alle glaubwürdigen Sicherheitslücken schließen. Wenn eine glaubwürdige Sicherheitslücke festgestellt wird, ergreifen wir die notwendigen Maßnahmen, um sie zu beheben.
Ist Eufy damit aus dem Schneider?
Eufy hat schon immer Teile der Listenaufbereitung in der App gemacht. Du brauchtest also eine aktive Internetverbindung um die Eufy Kameras zu nutzen. Die neue Homebase 3 soll genug Leistung zur Verfügung haben, um alle Aufgaben auch lokal abarbeiten zu können. Die ist aber aktuell noch nicht verfügbar.
Was sich Eufy auf jeden Fall hat zu Schulden kommen lassen, ist die Aussage, dass deine Daten immer nur „in der Sicherheit deines Zuhauses liegen“ und alle Übertragungen zwischen den beteiligten Geräten verschlüsselt erfolgen. Das war und ist so einfach nicht richtig.
Seitdem scheinen diese Werbeversprechen auch überall verschwunden zu sein. Was weiterhin richtig ist, dass Eufy keine monatlichen Kosten durch eine Verarbeitung der Videos in der Cloud erzeugt. Das ist wahrscheinlich für die meisten Nutzer der wichtigere Faktor.
Es gab angeblich zusätzlich eine Möglichkeit Videolivestreams der Kameras über VLC abzugreifen, wie ursprünglich von Paul Moore und dann von The Verge berichtet. Am nächsten Tag ruderte The Verge aber zurück, dass es nicht (oder nicht mehr) möglich ist, was sie ursprünglich geschrieben hatten. Insgesamt ein ziemliches Durcheinander in der Berichterstattung und plötzlich da auch zu dieser Sache keine so klare Anschuldigung übrig.
Also zum aktuellen Zeitpunkt scheinen einige der ursprünglichen Anschuldigungen etwas überzogen gewesen zu sein. Ja, Eufy hat Dinge für Komfortfunktionen getan, von denen sie behauptet hatten, sie nicht zu tun. Die aber in ihrem Ausmaß nicht schlimm sind (solange mit offenen Karten gespielt wird). Die schwerwiegendsten Anschuldigungen, die zwischenzeitlich aufkamen, sind entweder falsch gewesen oder sehr schnell von Eufy behoben worden.
Wir werden sehen, ob das Thema damit vom Tisch ist, ob sich noch neue Kapitel auftun. Auch wie viel Ansehen das ganze Eufy gekostet hat. Ich werde meinen aktuell laufenden Test in dem unter Anderem eine Eufy-Kamera verstrickt ist, normal zu Ende bringen. Am Ende muss jeder selbst entscheiden, welche Hardware und Kompromisse für Sie oder Ihn die Richtigen sind. Wichtig wäre dafür aber, dass die Versprechen der Hersteller wahr wären.