Eufy is een van de merken die zichzelf juist op de borst klopt omdat het zonder abonnement is en het ook nog mogelijk maakt om alleen lokaal beelden op te slaan. Inmiddels blijkt dat tot op zekere hoogte misschien helemaal niet zo’n goede belofte te zijn. Security-expert Paul Moore kwam namelijk een fout in Eufy’s systeem op het spoor.
Een grove fout, want zelfs als je er geen toestemming voor hebt gegeven, dan schijnt Eufy de beelden van de slimme camera’s in en om je huis (inclusief die van je slimme deurbel) wel naar de cloud te uploaden. Paul kwam dat op het spoor toen hij dat bij zijn eigen Eufy-camera opmerkte. Het cameramerk is ook nog van een Chinese maker, wat privacyzorgen in verband met potentiële spionage nog iets erger maakt.
Paul dacht oorspronkelijk dat de camera’s de beelden uploadden via pushmeldingen op de smartphone. Je ziet dan op je telefoon al een still van wie er voor de deur staat. Dat blijkt echter niet het euvel. Het komt ook voor als de pushnotificaties uit zijn gezet. Het kan echter erger en dat is het ook: je kunt zelfs je “alleen lokaal opgeslagen” beelden via de browser bekijken.
Je moet daarvoor wel de URL van de camera weten, maar als je die weet dan kun je zelfs gewoon live meekijken. Niemand die je tegenhoudt, want de video is niet eens van een wachtwoord voorzien. De onderzoeker heeft niet prijs hoe je dat voor elkaar krijgt. Sowieso is hij met Eufy al in gesprek en zegt hij verder niets over de zaak tot er een oplossing of antwoord is van de smarthomeleverancier.
Wel heeft Eufy al een reactie gegeven: “Onze producten, diensten en processen voldoen volledig aan de normen van de General Data Protection Regulation (GDPR), waaronder ISO 27701/27001 en ETSI 303645 certificeringen. Om gebruikers pushmeldingen naar hun mobiele apparaten te sturen, maken sommige van onze beveiligingsoplossingen kleine voorbeeldafbeeldingen (thumbnails) van video’s die kort en veilig worden gehost op een AWS-gebaseerde cloudserver.”
“Deze miniaturen maken gebruik van server-side versleuteling en zijn ingesteld om automatisch te worden verwijderd en voldoen aan de normen voor Apple Push Notification service en Firebase Cloud Messaging. Gebruikers kunnen deze miniaturen alleen openen of delen nadat ze zich veilig hebben aangemeld bij hun eufy Security-account. Hoewel onze eufy Security-app gebruikers laat kiezen tussen pushmeldingen op basis van tekst of thumbnails, werd niet duidelijk gemaakt dat de keuze voor meldingen op basis van thumbnails betekende dat preview-afbeeldingen kortstondig in de cloud moesten worden gehost.”
Er is ook een excuus: “Dat gebrek aan communicatie was een vergissing van onze kant en we verontschuldigen ons oprecht voor onze fout. Dit is hoe we van plan zijn onze communicatie in deze kwestie te verbeteren: We herzien de taal van de optie voor pushmeldingen in de eufy Security-app om duidelijk aan te geven dat pushmeldingen met miniaturen voorbeeldafbeeldingen vereisen die tijdelijk in de cloud worden opgeslagen. Daarnaast zullen we in ons marketingmateriaal voor consumenten duidelijker zijn over het gebruik van de cloud voor pushberichten.” Tot slot geeft het merk aan te waarderen dat beveiligingsonderzoekers helpen haar producten veiliger te maken.
Of dit probleem zich voordoet bij alle Eufy-camera’s is onbekend. Wel bij EufyCam 3 in combinatie met een HomeBase 3 van Eufy.