01.02.2023
Cybercrime

Zo zit het met de veiligheid van Eufy-camera’s

By: Laura Jenny

BlogCybercrime

Vorig jaar werd bekend dat Eufy-camera’s, die naar eigen zeggen juist privacy hoog in het vaandel hadden staan, toch niet zo heel zorgvuldig omgingen met de gegevens (en camerabeelden) van gebruikers. In plaats van excuses kregen consumenten echter helemaal niets te horen van Anker, het moederbedrijf. Tot nu. Het bedrijf heeft eindelijk meer gezegd over het euvel.

Anker heeft lang gewacht met het formuleren van een antwoord, maar het is er nu. En voor het eerst krijgen we excuses van het bedrijf. Het belooft dat het een strengere audit binnenshuis zal doen en dat het spijt heeft dat het niet beter heeft gecommuniceerd. Daarnaast komt het met een bug bounty programma en een website om meer over privacy uit te leggen.

Anker zegt sorry

Het bedrijf geeft toe dat de beloofde encryptie niet altijd op zijn camera’s aanwezig is, maar het belooft beterschap. Het heeft maanden geleden al stilzwijgend de belofte van privacy uit zijn app en marketinguitingen gehaald, maar nu doet het eindelijk zijn mond open. Ook zal een bekende expert het bedrijf wat meer gaan doorlichten op dit gebied. Zou het dezelfde man zijn die het euvel aan het licht bracht?

Tegen TheVerge doet Anker zijn verhaal. Het kostte wel wat dreiging: de techsite had Anker een ultimatum gegeven voor de feestdagen: een antwoord, anders schrijven we een artikel over dat er maar geen antwoord is. Blijkbaar werkte die methode, want het antwoord is er nu. Een vrij schrikbarend antwoord, dat wel. De Eufy-camera’s zijn nooit native voorzien van eind-tot-eind-versleuteling. Dat terwijl het juist mede door die belofte het imago had van een van de veiligste thuiscameramerken.

Privacyprobleem

Dit alles kwam vorig jaar aan het licht toen een tech-expert ontdekte dat zijn beelden die lokaal zouden zijn opgeslagen, gewoon naar de servers van Eufy werden verstuurd. En dat niet alleen: ze waren online ook te raadplegen op een vrij makkelijke manier. Een enorm kwalijke zaak voor een bedrijf dat ‘handelt’ in beelden van mensen thuis. Anker zegt dat het dit heeft aangepast. Op dit moment is elke videostream vanuit de webportal van Eufy eind-tot-eind versleuteld. Eufy-camera’s worden voorzien van WebRTC, wat sowieso encryptie heeft.

Het lijkt erop dat het merk toch wel diep door het stof gaat. Het probeert het op alle mogelijke manieren goed te maken. Het is alleen jammer dat het dat in eerste instantie niet naar zijn klanten stuurt, maar zijn verhaal na zoveel maanden doet aan een techsite. Heeft het dan wel echt van zijn fouten geleerd?

Beelden ‘hacken’

Het schrijft: “Voorheen kon een geregistreerde gebruiker na het inloggen op ons beveiligde webportaal naar de debug-modus gaan, de DevTool van de webbrowser gebruiken om de livestream te lokaliseren en vervolgens de link afspelen of delen met iemand anders om deze buiten ons beveiligde systeem af te spelen. De keuze om die link te delen was echter aan de gebruiker, die eerst moest inloggen op het Eufy-webportaal om die link te krijgen.”

En: “Op basis van feedback uit de sector en uit voorzichtigheid, verbiedt het Eufy Security-webportaal nu dat gebruikers de debug-modus binnengaan. Bovendien is de inhoud van de videostreams versleuteld, wat betekent dat deze videostreams niet langer kunnen worden afgespeeld op mediaspelers van derden, zoals VLC.”

WebRTC

Daarnaast heeft Eufy’s PR-medewerker blijkbaar ook een aantal zaken verkeerd begrepen toen het probleem eenmaal aan de kaak werd gesteld. Daarnaast zegt Eufy: “Homebase3- en eufyCam3/3C-apparaten die in oktober 2022 zijn uitgebracht, gebruiken WebRTC voor end-to-end versleutelde communicatie voor toegang tot livestreams in een browser. En we rollen WebRTC nu uit naar ALLE Eufy Security-apparaten.” Het is dus nog niet gezegd dat jouw Eufy-csmera er nu al van voorzien is.

Maar, waarom werden de lokale beelden dan toch niet zo lokaal opgeslagen? Anker zegt hierover: “Ten eerste is het doel van het verzenden van een gebruikersbeeld van de Eufy-app naar onze servers edoeld om de lokale gezichtsherkenningssoftware een basis te geven om zijn algoritme uit te voeren. Alle gezichtsherkenningsprocessen worden en werden altijd lokaal uitgevoerd op het apparaat van de gebruiker. In het geval van onze Video Doorbell Dual werd een kopie van die set-up afbeelding met end-to-end encryptie opgeslagen op onze beveiligde cloud.”

Video Doorbell Dual

“De reden hiervoor was dat als de gebruiker de Video Doorbell Dual wilde vervangen of een extra Video Doorbell Dual aan zijn Eufy Security-systeem toe wilde voegen, het systeem tijdens de installatie de bestaande afbeelding uit de cloud zou halen, in plaats van een nieuwe afbeelding te laten maken. Ook dit proces was niet in lijn met onze “lokale” missie en is verwijderd. Net als alle andere apparaten in het Eufy Security-assortiment vertrouwt onze Video Doorbell Dual nu op lokale opslag van gebruikersbeelden en videogegevens. Niet in de cloud.”

Het is nog afwachten of het smarthomemerk zijn belofte echt zal houden, maar het zal alle zeilen moeten bijzetten om het vertrouwen van klanten terug te winnen en kan zich nu echt geen fouten meer permitteren. Maar reken maar dat het merk nu juist extra in de gaten wordt gehouden tot er weer iets misgaat, dus belofte maakt in dit geval dubbel schuld.

Share this post