Slimme camera's en deurbellen van Eufy uploaden stiekem beelden
De slimme camera's en deurbellen van het merk Eufy blijken beelden naar de cloud te uploaden, zelfs als gebruikers daar geen toestemming voor hebben gegeven.
Eufy is onderdeel van het Chinese bedrijf Anker en maakt goed beoordeelde slimme camera's voor in en om het huis. Maar de camera's blijken beelden naar de cloud te uploaden, ontdekte beveiligingsonderzoeker Paul Moore. Als hij inlogt op de site van Eufy ziet hij recente afbeeldingen die door zijn Eufy-camera's zijn gemaakt. Dat zou niet moeten kunnen: hij slaat de beelden van de camera's alleen offline op.
In eerste instantie leken de camera's de beelden te uploaden als onderdeel van push-meldingen op de smartphone van gebruikers. Als er iemand aanbelt, kan er bijvoorbeeld een foto van die persoon worden getoond in de melding op de telefoon – ook al slaat de camera de beelden alleen lokaal op. Maar zelfs met die meldingen uitgeschakeld, duiken de beelden alsnog online op, toont Moore aan.
Meekijken bij anderen
Nog zorgelijker is de ontdekking van Moore dat de camera's van Eufy gewoon via de browser beschikbaar zijn. Wie de juiste URL van zo'n camera kent, kan die invoeren en ongemerkt meekijken. De live video is niet versleuteld en niet eens met een wachtwoord afgeschermd. Moore deelt met het oog op de ernst van dit geval niet hoe hij dat voor elkaar heeft gekregen.
Eufy stelt in een reactie dat zijn camera's gemaakt zijn voor de lokale opslag van videobeelden. Die worden volgens Eufy altijd versleuteld bewaard op apparaten van de gebruiker zelf. De geüploade beelden zijn volgens Eufy nodig om een afbeelding te laten zien bij pushmeldingen. Het bedrijf geeft toe dat die functie duidelijker toegelicht had kunnen worden en belooft dat in het vervolg ook te gaan doen. Het bedrijf is echter nog niet ingegaan op de mogelijkheid voor anderen om ongemerkt mee te kijken met livebeelden van de camera's.
Het is niet duidelijk of de ontdekkingen van Moore gelden voor alle camera's van Eufy. Het zou in ieder geval weken bij de EufyCam 3 paired gekoppeld aan een Eufy HomeBase 3. Dat toonde Android Central, die de aanpak van Moore wist na te bootsen. Eufy viel eerder al door de mand, toen beelden van camera's door een serverfout aan vreemden werden getoond.
Luister ook: