Erfahrungen mit eufyCam

Das eufyCam Überwachungssystem von Anker wurde in einer Langzeitbeobachtung über die letzten zwei Jahre wiederholt analysiert, nachdem ein SEC Consult Security Researcher dieses Produkt privat zu Testzwecken gekauft hat.

In dieser Zeit wurden verschiedene Schwachstellen identifiziert, die inzwischen vom Hersteller behoben wurden. Obwohl der Hersteller angibt, dass Privatsphäre Priorität hat und mit der lokalen Speicherung der von den Sicherheitskameras aufgenommenen Bilder wirbt, werden die Miniaturansichten der Videodateien weiterhin in der Cloud gespeichert. Die Anmeldedaten für den physischen Shell-Zugang zum System wurden ebenfalls gefunden und werden veröffentlicht, um weitere Forschung der Security Community zu fördern.

Wie alles begann

Im Sommer 2020 hat sich Bernhard Gründling, einer unserer Schwachstellen-Researcher bei SEC Consult, eine Anker eufyCam 2 privat für sich zu Hause gekauft. Ein Hauptverkaufsargument war der Anspruch des Anbieters, Filmmaterial und Betrieb des Systems nicht in der Cloud zu speichern. Die zugehörigen Marketingaussagen „Datenschutz ist unsere Priorität“ und „Lokal gespeichert“, „Verschlüsselung nach Militärstandard“ auf der Website untermalten dies.

[Translate to German:] Example image uploaded to eufyCam cloud servers

Das System besteht aus einer zentralen Homebase, an die sich alle Peripheriegeräte wie Kameras, Türklingeln und Sensoren anschließen. Der Versuch, das Gerät in einem Netzwerk ohne Internetzugang einzurichten, scheiterte. Der zweite Versuch erfolgte sodann mit Internetzugang. Dies weckte unsere Neugier – wie funktioniert dieses System und warum sollte es Zugriff auf das Internet benötigen, wenn es nur lokal Daten speichert?

Die ersten Erkenntnisse waren gelinde gesagt überraschend. Wir haben uns den Datenverkehr zwischen der Smartphone-App und der Homebase angesehen und festgestellt, dass diese hauptsächlich über die Cloud kommuniziert, um Befehle und Videostreams zu übertragen. Ihr Anspruch auf lokale Speicherung beschränkt sich offenbar auf die tatsächlich auf dem Gerät gespeicherten Aufnahmen. Doch Thumbnails der Aufnahmen werden beispielsweise in der AWS-Cloud gespeichert.

Sie möchten mehr Details erfahren? Den vollständigen Bericht (auf Englisch) finden Sie hier.