Eufy bedolven onder kritiek na berichtgeving digitale opslag foto’s
YouTuber Paul Moore bracht in november een ernstig privacyprobleem in de systemen van Eufy aan het licht. Het dochtermerk van Anker claimt op zijn productpagina’s alle data offline op te slaan, maar stuurt volgens Moore alsnog foto’s naar zijn clouddienst. De foto’s die gemaakt worden met de beveiligingscamera’s zijn via de Eufy-webinterface zichtbaar. Via een bericht in de Security-app voor beveiligingscamera’s, brengt Eufy zijn klanten nu op de hoogte van deze cloudopslag van thumbnails, merkt ZDNet op.
Specifiek legt Eufy uit dat het deze foto’s naar de cloudopslag verstuurt om pushnotificaties mogelijk te maken. Vervolgens worden de thumbnails slechts tijdelijk op zijn servers opgeslagen. Degenen die het systeem voortaan volledig offline wensen te gebruiken, krijgen daar ook de mogelijkheid toe. De Security-app biedt voortaan namelijk een optie voor notificaties met enkel tekst. Daarvoor stuurt het geen data naar zijn servers. De optie voor pushmeldingen met thumbnails blijft beschikbaar, en verloopt nog altijd via Eufy-servers. De instelling in de app biedt daar nu ook extra uitleg bij.
Eufy-camerastreams via VLC
Gebruikers reageerden onder meer via Reddit geschokt op het verhaal van Moore. Het bedrijf hield in zijn marketingverhalen vol dat het geen data naar de cloud stuurt. Zelfs op dit moment lees je via Eufy’s productpagina’s nog dat er “geen cloud” benodigd is voor het gebruik van zijn producten.
Het privacyvraagstuk rondom Eufy-camera’s bleek daar echter niet op te houden. Onderzoek van Moore wijst uit dat camerastreams van Eufy-beveiligingscamera’s namelijk zonder authenticatie benaderbaar zijn via VLC. Gebruikers hoeven hiervoor enkel via VLC verbinding te maken met de url van zo’n stream. De gebruiker hoeft vervolgens geen authenticatiegegevens in te vullen. Eufy weerlegde deze claim, en stelt dat de beelden versleuteld verzonden worden.
The Verge wist de claims van Moore desondanks te bevestigen; de beelden van Eufy-streams zijn – mits je de url weet te vergaren – voor iedereen zichtbaar. Ongeweten is of het Anker-dochtermerk werkt aan een update voor zijn Security-dienst. In de updatenotes van de recente update voor het platform wordt in elk geval niet gesproken over een oplossing.