Der Hersteller Eufy, er gehört zu dem bekannten Zubehörproduzenten Anker, ist erneut mit einem Sicherheitsproblem aufgefallen, berichtet 9to5Google. Betroffen sind dabei wieder die Überwachungskameras. Der Security-Experte Paul Moore stellte fest, dass über die Geräte Videovorschaubilder (sogenannte Thumbnails) auf Cloudservern abgelegt werden.

Das allein wäre nicht unbedingt ungewöhnlich, sofern Nutzer sich dazu entscheiden, Aufnahmen online auf den Servern des Unternehmens zu hinterlegen. Allerdings wurden die Bildausschnitte unverschlüsselt gespeichert, auch bei Nutzern, die die Cloudfunktion gar nicht aktiviert haben.

Thumbnails in der Cloud – auch ohne Cloudkonto

Für Eufy ist das gleich ein doppeltes Problem. Einerseits ist die unverschlüsselte Speicherung solcher Daten sicherheitstechnisch ein absolutes No-Go. Andererseits bewirbt der Hersteller seine Kameras damit, dass auch eine rein lokale Speicherung von Videos, ganz ohne Cloudanbindung, möglich ist.

Moore belegte das Problem mit einem Video, das zeigt, dass per Gesichtserkennung ausgelöste Aufnahmen einer auf lokale Speicherung eingestellten Türklingelkamera in die Eufy-Cloud hochgeladen wurden, obwohl er überhaupt keinen Cloud-Storage-Account des Anbieters besitzt. Android Central konnte dasselbe Phänomen auch beim Modell EufyCam 3 nachvollziehen.

Der Hersteller versucht zu beruhigen. Man habe manche der beschriebenen Sicherheitsprobleme mittlerweile gelöst, die temporäre Speicherung der Thumbnails auf den Amazon-Cloudservern der Firma sei aber notwendig, um Pushnachrichten mit Vorschaubildern verschicken zu können, wenn Nutzer den Versand selbiger an die Apps auf ihrem Smartphone aktiviert haben.

Laut Moore wurde eine im Hintergrund ausgeführte Abruffunktion entfernt, mit der die Bilder sich anzeigen ließen, nicht aber die Aufnahmen selbst. Andere Aufruffunktionen wurden verschlüsselt, was die Nachverfolgung erschwere, aber das Problem nicht löse.

Hersteller versucht zu beruhigen

Die Vorgangsweise steht nach Ansicht von Eufy im Einklang mit den Regeln für die Pushnachrichtenservices von Apple und Google. Man werde aber die Beschreibung der Funktion anpassen, damit für Nutzer klar ersichtlich ist, dass dabei eine vorübergehende Speicherung der Vorschaubilder in der Cloud erfolgt, und auch das Marketing-Material abändern.

Im vergangenen Mai hatte Eufy Ärger auf sich gezogen, als Nutzer sich plötzlich nach dem Anmelden in fremden Accounts wiederfanden, wo sie auch Zugriff auf die Liveansicht von Überwachungskameras und Kundendaten hatten. Hier hatte der Hersteller allerdings schnell reagiert und das Problem rund zwei Stunden nach den ersten Meldungen behoben. (gpi, 30.11.2022)