Eufy Security krijgt op dit moment veel kritiek te verduren. Zijn de camera's van Eufy nog veilig te gebruiken? Middels dit artikel hopen we het nieuws op laagdrempelige wijze in perspectief te plaatsen.
‘Eufy deelt toch stiekem video’s met de cloud. Iedereen kan zomaar de beelden van jouw camera’s bekijken via VLC. De camera’s zijn hartstikke onveilig. Eufy liegt alles bij elkaar.’
Dit zijn zomaar enkele headlines vanuit de media op het nieuws van Eufy de afgelopen week. De beschuldigingen vliegen ons om de oren, vaak door mensen die er eigenlijk ook helemaal geen verstand van hebben. In dit artikel willen we het nieuws op een laagdrempelige wijze in perspectief plaatsen, zodat je zelf een oordeel kunt vellen of de camera’s van Eufy nog veilig te gebruiken zijn.
Om maar meteen met de deur in huis te vallen. Nee, je opgeslagen video’s van je videodeurbel en beveiligingscamera’s staan niet stiekem op een cloud. En nee, iemand kan niet zomaar jouw livestreams bekijken via VLC Player. Het probleem in dit geval is dat de achterliggende materie zo complex is, dat 99,9 procent van de mensen (waaronder ook ik en veel andere media) de precieze details gewoon niet begrijpen.
Punt 1: Afbeelding uit notificatie gaat naar de cloud
Het nieuws begon vorige week toen Paul Moore, een Information Security Consultant, het nieuws naar buiten bracht dat Eufy toch data naar de cloud stuurde. Eufy claimt altijd dat video’s lokaal worden opgeslagen, dus hoe zit dat? In dit geval gaat het om de ‘Rich Notifications’. Bij een gebeurtenis krijg je een notificatie op je smartphone te zien. Dat kan met alleen tekst, maar met Rich Notifications krijg je ook een afbeelding te zien. In dit geval gaat het om deze stilstaande afbeelding die naar een AWS Cloud Server gestuurd wordt en daar tijdelijk (24 uur) opgeslagen wordt en benaderbaar is.
You have some serious questions to answer @EufyOfficial
Here is irrefutable proof that my supposedly “private”, “stored locally”, “transmitted only to you” doorbell is streaming to the cloud – without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB
Die notificatie moet toch ergens van je camera op je telefoon terecht komen, ook wanneer je niet thuis bent. Het is gebruikelijk dat beveiligingscamera’s afbeeldingen tijdelijk via een cloud laten gaan om de notificatie op je Android-telefoon of iPhone te krijgen. Sterker nog, het is wat vrijwel iedere andere fabrikant ook doet. Je beveiligingscamera verbindt je via de HomeBase met je router en dus met het internet. Je gebruikt een app en ontvangt waar dan ook ter wereld notificaties op je smartphone van je camera’s. Het lijkt me dan ook logisch dat dit niet allemaal lokaal gebeurt. Dat kan gewoon niet.
Het probleem in deze is dan ook dat Eufy hier volgens sommige mensen niet (goed) over gecommuniceerd heeft. Of ze hierover hadden moeten communiceren hangt van je perspectief af. Het gaat puur om de stilstaande afbeelding uit de notificatie in dit verhaal. Deze worden via een cloudserver van Amazon naar je smartphone gestuurd en staan tijdelijk in deze cloud. Voor de opgenomen video’s telt dit niet. Die staan gewoon lokaal op je HomeBase opgeslagen en ik zeg het er maar even bij. Je opgenomen video’s worden dus niet naar de cloud gestuurd.
Inmiddels is het een welles/nietes strijd tussen veel mensen geworden. Je video’s staan lokaal, maar die tijdelijke notificatieafbeelding niet. In hoeverre kun je dan nog spreken van lokale opslag? Eufy had dit wellicht beter moeten communiceren en daarom heeft men vandaag dan ook een update voor de Eufy Security-app uitgebracht (via ZDNET) waarin mensen worden gewaarschuwd dat er data ( de afbeelding ) met de cloud wordt gedeeld wanneer ‘Rich Notifications’ is ingeschakeld. Je kunt de Rich Notifications ook uitzetten, dan wordt er dus geen afbeelding van de gebeurtenis naar de cloud gestuurd. Je krijgt dan alleen tekst te zien in een notificatie. Zo heb je er zelf controle over.
Punt 2: livestreams te benaderen via VLC Player
Het tweede punt is het bekijken van livestreams via VLC Player. Die beelden zouden niet-versleuteld te bekijken zijn. Ook dit is nogal doemdenken. In theorie is het mogelijk, maar een eventuele hacker heeft heel veel informatie van je nodig. Zo heeft men onder andere je accountinformatie nodig (gebruikersnaam en wachtwoord) om een unieke en random gegenereerde url voor je livestream te krijgen. En in deze url heeft men onder andere ook het serienummer van de camera nodig, naast andere informatie dat ook benodigd is. De stream is alleen maar te bekijken als de camera daadwerkelijk een gebeurtenis opneemt en bij iedere gebeurtenis wordt de url gedeeltelijk weer opnieuw gegeneerd. Je ziet, dit is nogal lastig in de praktijk. Een eventuele hacker moet daarnaast dus ook nog precies weten wanneer de camera actief een gebeurtenis opneemt.
Communicatie moet beter
We krijgen geen geld van Eufy voor dit artikel en hebben ook geen contact gehad met de fabrikant. Middels dit artikel willen we het nieuws een beetje in perspectief plaatsen als tegenwicht voor de vele beschuldigingen die op dit moment rondgaan. Er bestaat geen 100 procent lokale opslag voor dergelijke beveiligingscamera’s en videodeurbellen die je notificaties op je smartphone sturen, ook buitenshuis. Andere fabrikanten doen precies hetzelfde en hier zitten ongetwijfeld ook fabrikanten tussen die dat wellicht beter hadden moeten communiceren.
Wel zijn we voor transparantie en openheid bij dergelijke verhalen. Wellicht zijn het de Chinese roots van Eufy dat er nauwelijks communicatie omtrent dit onderwerp is, maar dat is speculeren. De fabrikant kiest voor stilzwijgen en oplossen en daar mag men wat ons betreft terecht kritiek op hebben. Het zegt wat ons betreft echter niets over de veiligheid van de camera’s van Eufy. Wil je de diepte in omtrent dit onderwerp? Dan kunnen we je de volgende YouTube-video van The Hook Up aanraden:
Reacties (0)