Nieuws, feedback en meer > Nieuwsberichten en reacties

Camera’s van Eufy blijken altijd data door te sturen (Upd. x2)

(1/1)

Robert:
Camera’s van Eufy blijken altijd data door te sturen (Upd. x2)Volgens de Nederlandse website van Eufy zijn er “Meer dan 5.000.000 tevreden gezinnen over de hele”. Dat is geen grapje, de site is waarschijnlijk met hulp van Google Translate of DeepL vertaald door iemand die het Nederlands niet machtig is, want er zijn wel meer zulke fouten op die site te vinden.

Dat zou niet zo’n groot probleem zijn als Eufy in ieder geval zou doen wat ze beloven, zoals stoppen met het doorgeven van data als dat in hun software uitgezet wordt. Eufy is een sub-merk van Anker, een bedrijf met een prima reputatie, maar beloven dat opgenomen video lokaal wordt opgeslagen en door niemand anders zichtbaar is. Dat blijkt niet te kloppen.

You have some serious questions to answer @EufyOfficial

Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud - without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB— Paul Moore (@Paul_Reviews) November 23, 2022
--- Einde van citaat ---

In de video in de tweet hierboven van veiligheid-onderzoeker Paul Moore is te zien dat ook als de camera’s van Eufy ingesteld staan op alleen lokaal opslaan er toch wel degelijk nog steeds data verstuurd wordt. Bij deurbellen waarbij gezichtsherkenning gebruikt wordt is dat nog erger, mogelijk wordt er dus ook vastgelegd wie en wanneer er bij jou aan de deur is.

Daarbij blijkt Eufy dat soort data van verschillende accounts ook nog eens aan elkaar te koppelen, waardoor er heel erg veel inzicht kan worden verkregen over al jouw contacten die aan de deur komen. Het is onduidelijk of dit geldt voor alle camera’s van Eufy, op Android Central waren ze in ieder geval in staat om de bevindingen van Paul Moore ook uit te voeren.

Om dit probleem nóg groter te maken blijkt dat de streams ook nog niet eens versleuteld verstuurd worden, iedereen die de data oppikt kan alle opnames dus gewoon bekijken.

Ah well, the cats out the bag now... so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC - I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX— Paul Moore (@Paul_Reviews) November 25, 2022
--- Einde van citaat ---


Update: Anker heeft een reactie hierover uit doen gaan, hieronder vind je die in zijn geheel:


--- Citaat ---eufy Security is designed as a local home security system. All video footage is stored locally and encrypted on the user's device. With regard to eufy Security’s facial recognition technology, this is all processed and stored locally on the user's device.

Our products, services and processes are in full compliance with General Data Protection Regulation (GDPR) standards, including ISO 27701/27001 and ETSI 303645 certifications.


To provide users with push notifications to their mobile devices, some of our security solutions create small preview images (thumbnails) of videos that are briefly and securely hosted on an AWS-based cloud server. These thumbnails utilize server-side encryption and are set to automatically delete and are in compliance with Apple Push Notification service and Firebase Cloud Messaging standards. Users can only access or share these thumbnails after securely logging into their eufy Security account.

Although our eufy Security app allows users to choose between text-based or thumbnail-based push notifications, it was not made clear that choosing thumbnail-based notifications would require preview images to be briefly hosted in the cloud.

That lack of communication was an oversight on our part and we sincerely apologize for our error. This is how we plan to improve our communication in this matter:

1) We are revising the push notifications option language in the eufy Security app to clearly detail that push notifications with thumbnails require preview images that will be temporarily stored in the cloud.

2) We will be more clear about the use of cloud for push notifications in our consumer-facing marketing materials.

eufy Security is committed to the privacy and protection of our users' data and appreciates the security research community reaching out to us to bring this to our attention.

--- Einde van citaat ---
En de vrije vertaling hiervan:


--- Citaat ---eufy Security is ontworpen als een lokaal huisbeveiligingssysteem. Alle videobeelden worden lokaal opgeslagen en versleuteld op het apparaat van de gebruiker. Wat betreft de gezichtsherkenningstechnologie van eufy Security, dit wordt allemaal lokaal verwerkt en opgeslagen op het apparaat van de gebruiker.

Onze producten, diensten en processen voldoen volledig aan de normen van de General Data Protection Regulation (GDPR), waaronder ISO 27701/27001 en ETSI 303645 certificeringen.


Om gebruikers pushmeldingen naar hun mobiele apparaten te sturen, maken sommige van onze beveiligingsoplossingen kleine voorbeeldafbeeldingen (thumbnails) van video's die kort en veilig worden gehost op een AWS-gebaseerde cloudserver. Deze miniaturen maken gebruik van server-side versleuteling en zijn ingesteld om automatisch te worden verwijderd en voldoen aan de normen voor Apple Push Notification service en Firebase Cloud Messaging. Gebruikers kunnen deze miniaturen alleen openen of delen nadat ze zich veilig hebben aangemeld bij hun eufy Security-account.

Hoewel onze eufy Security-app gebruikers laat kiezen tussen pushmeldingen op basis van tekst of thumbnails, werd niet duidelijk gemaakt dat de keuze voor meldingen op basis van thumbnails betekende dat preview-afbeeldingen kortstondig in de cloud moesten worden gehost.

Dat gebrek aan communicatie was een vergissing van onze kant en we verontschuldigen ons oprecht voor onze fout. Dit is hoe we van plan zijn onze communicatie in deze kwestie te verbeteren:

1) We herzien de taal van de optie voor pushmeldingen in de eufy Security-app om duidelijk aan te geven dat pushmeldingen met miniaturen voorbeeldafbeeldingen vereisen die tijdelijk in de cloud worden opgeslagen.

2) We zullen in ons marketingmateriaal voor consumenten duidelijker zijn over het gebruik van de cloud voor pushberichten.

eufy Security hecht veel waarde aan de privacy en bescherming van de gegevens van onze gebruikers en waardeert het dat de beveiligingsonderzoeksgemeenschap ons de hand reikt om dit onder onze aandacht te brengen.

--- Einde van citaat ---


Update 2: Bij Eufy is besloten om niets aan de werking te veranderen, maar om de klanten beter te informeren over hoe het werkt. Meer hierover in dit nieuwsbericht van ZDNet.



 #Privacy

de Redactie:
Er is een update bij dit nieuwsbericht gezet.

de Redactie:
Er is een tweede update bij dit nieuwsbericht gezet.

Navigatie

[0] Berichtenindex

Naar de volledige versie