Anker: Eufy-camera's sturen beelden naar servers voor pushmeldingen

Eufy-camera's van Anker sturen beelden naar servers om gebruikers pushmeldingen met thumbnails te kunnen laten zien, zo zegt eigenaar Anker. Eufy kwam afgelopen dagen in opspraak, omdat een YouTuber liet zien dat er beelden via het web benaderbaar zijn.

YouTuber Paul Moore toonde dat thumbnails van Eufy te zien zijn in de webinterface van de dienst. Daarbij heeft hij de optie om beelden online op te slaan niet ingeschakeld; hij benaderde zijn systeem alleen via de webinterface. De webinterface deed een api-call 'get_all_history_record' om de beelden te kunnen vinden. Daarbij bleek dat er ook velden waren voor gezichtsherkenning.

In een tweede video laat hij zien dat de thumbnails benaderbaar blijven, zelfs als hij de meldingen van zijn telefoon heeft verwijderd en ze via de api-call niet meer tevoorschijn komen: de URL blijft geldig en het beeld blijft zichtbaar. De link verloopt na 24 uur.

Volgens Eufy is het opslaan van de thumbnails nodig om pushmeldingen te laten functioneren zonder de telefoon van gebruikers vol te laten lopen met screenshots van die meldingen. Volgens gebruikers heeft Eufy de api-call wel verwijderd uit zijn webinterface; het is onbekend of het bedrijf nog meer zal doen. Eufy belooft gebruikers op de eigen site dat beelden lokaal opgeslagen blijven. "Uw opgenomen beelden blijven privé. Lokaal opgeslagen. Met versleuteling van militaire kwaliteit. En verzonden naar u, en alleen naar u."

Door Arnoud Wokke

Redacteur

28-11-2022 • 07:11

158 Linkedin

Submitter: Piet91

Reacties (158)

158
157
59
5
0
62
Wijzig sortering
Eigenlijk zou je al vraagtekens over "local storage" moeten krijgen op het moment dat je via het web interface van de fabrikant, de camera beelden gaat opvragen. Als je een mobiel gebruikt, verwacht de klant dat je eigen telefoon verbinding maakt met je camera (iets waar je overigens ook vraagtekens bij kan plaatsen), maar op het moment dat je dat via de website van de fabrikant doet, kan je verwachten dat de fabrikant bij je beelden komt.
Daarbij bleek dat er ook velden waren voor gezichtsherkenning.
Het Tweakers artikel gaat er niet verder op in, en "velden" betekent nog niet per se dat er ook daadwerkelijk gezichtsherkenning wordt uitgevoerd, maar wat de Youtuber in zijn video zegt, vind ik eigenlijk nog schokkender: https://youtu.be/qOjiCbxP5Lc?t=241

Hij zegt daar (op 4:25) dat een andere Eufy camera, onder een ander account, met dezelfde face id komt als hetzelfde persoon in beeld komt! Jammer dat hij er in zijn video's geen bewijs voor levert, door het te demonstreren met een andere camera en account. Maar als dat waar is, dan voert Eufy dus massaal gezichtsherkenning uit over al zijn gebruikers, waarbij data van gebruikers gekoppeld wordt. Hij zou het eenvoudig kunnen checken door over een langere periode te checken of de id's nog hetzelfde zijn bij zijn gezicht i.c.m. andere camera's en accounts. Maar nu Eufy op de hoogte is gesteld door het open zijn van de API, zullen ze het waarschijnlijk gaan verbergen, waardoor het niet meer aan te tonen is.
Maar als dat waar is, dan voert Eufy dus massaal gezichtsherkenning uit over al zijn gebruikers, waarbij data van gebruikers gekoppeld wordt.
Dit detail is inderdaad nog veel schokkender.
Fijn dat Tweakers mijn tip heeft overgenomen, maar ik had gehoopt dat dit detail wat meer aangestipt zou worden.
@arnoudwokke Iets om nog even aan te stippen in het artikel?
Nee, ik heb hier geen bewijs voor gezien en ik neem het dus niet zomaar over als je het niet erg vindt :)
Fair enough.
Al lang blij dat dit door jullie opgepakt is. Eufy wordt ontzettend vaak geroemd om hun lokale opslag en dat blijkt dus niet zo te zijn. Daarom goed dat jullie dit hier plaatsen en in ieder geval informeren.

EDIT: maar toch vind ik dit artikel wel erg tekort schieten. Je zou de Twitterfeed van Paul Moore eens moeten doorlezen en o.a. de reactie van Eufy moeten lezen:
Update: An official response from
@EufyOfficial


Paraphrasing...
"You're right, we do send to the cloud but it's password protected, so not publicly visible... but we intend to encrypt API messages so nobody else finds out"

Completely & utterly missed the point.
https://twitter.com/Paul_Reviews/status/1595793302565146626

Ook geen aandacht voor het feit dat de live feed publiekelijk toegankelijk is zonder enige vorm van authenticatie of encryptie.
Ah well, the cats out the bag now... so may as well tell you.

You can remotely start a stream and watch
@EufyOfficial
cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC - I can't release this one.
https://twitter.com/Paul_Reviews/status/1596048648416423936

Beelden worden bewaard op hun servers ook al heb je ze zelf verwijderd of je account verwijderd:
.
@EufyOfficial
finally admitted uploading pictures, faces & names to the cloud without permission.

They claim they're only used for notifications. Thus, as per GDPR, they are "deleted immediately when you
1) Delete it
2) Close the account"

Both a lie.
https://twitter.com/Paul_Reviews/status/1596169445361287168

En hoe gaat Eufy met deze aantijgingen op?
Yes, frequent emails. First a denial, then an admission, then denying that it breaches GDPR, now it's been sent to legal to deal with.
https://twitter.com/Paul_Reviews/status/1596242026101604358

EDIT #2: Volg de ontwikkelingen op zijn Twitter feed; daar komt meer info dan op de 2 Youtube videos: https://twitter.com/Paul_Reviews/status/1597213858959020033

Er heerst bij Eufy dus een ethiek van verkopen onder het mom van privacy en lokale opslag maar in de praktijk zitten ze zonder toestemming toch je data binnen te halen en als ze hierop betrapt worden proberen ze het zo veel mogelijk te verhullen.


Dat gaat véél verder dan wat dit artikel suggereert door louter te zeggen dat ze wat beelden naar hun servers sturen.

Het onderwerp is ook al bij de WAN show van LinusTechTips langsgekomen en ze zijn daar terecht behoorlijk pissig over.
So to recap, it appears Eufy is storing images of faces, with usernames attached to them, on public facing servers, without encryption.
They expose their own encryption keys in their API calls and they allow users to access unencrypted streams without authentication.
Zie: https://youtu.be/zYpyS2HaZHM?t=1636

Ze verbreken daarom ook meteen elke samenwerking met Anker.

[Reactie gewijzigd door Piet91 op 28 november 2022 15:18]

Beelden worden bewaard op hun servers ook al heb je ze zelf verwijderd of je account verwijderd:
Paul Moore maakt het volgens mij vele malen sensationeler dan het werkelijk is. Het betreft hier een normale Amazon cache die na 24uur verloopt; nergens kan er uit opgemaakt worden dat de afbeeldingen of video's door Eufy opgeslagen worden.
in their API calls and they allow users to access unencrypted streams without authentication
Wanneer je kijkt in de online beschikbare informatie over de API: https://github.com/FuzzyM...-security/blob/dev/API.md; zie je dat er zowel op de RTSP stream als op de requests gewoon authenticatie plaatsvind.

Zoals te zien is in zijn video op https://www.youtube.com/watch?v=etpbq_HH79c; zijn er geen thumbnails beschikbaar wanneer er geen activiteiten hebben plaats gevonden. Dus wat Euvy zelf aangeeft in haar reactie lijkt te kloppen; namelijk dat het enkel gebruikt wordt voor de push notificatie.
They expose their own encryption keys
Volgens mij heeft het hier over de "cipher_user_id" die in de response zit van "https://mysecurity.eufylife.com/api/v1/event/app/get_all_history_record" zie documentatie.

Alsnog niet een probleem aangezien er een authenticatie token gebruikt wordt / de authenticatie reeds heeft plaatsgevonden.

update
Blijkbaar heeft Paul het over de "wipn_enc_dec_key"; met waarde "****". *
Het lijkt dat het hier inderdaad een globale encryptie code gaat. De vraag is alleen van wat? Encryptie van de lokale opslag? Zo ja, niet ideaal maar alsnog niet een groot probleem.

*Informatie openbaar vindbaar

[Reactie gewijzigd door mmjjb op 28 november 2022 15:20]

Het betreft hier een normale Amazon cache die na 24uur verloopt; nergens kan er uit opgemaakt worden dat de afbeeldingen of video's door Eufy opgeslagen worden.
->
Cache can and must be nullified when access is revoked or the content no longer exists.

Realistically though, it's almost certainly still there.
https://twitter.com/Paul_Reviews/status/1596803065218203649

Daarnaast; Eufy beweerd geen beelden op te slaan maar blijkt dit wél te doen (zonder goedkeuring).
Waarom zou je dan nog vertrouwen hebben dat Eufy die beelden na die 24 uur niet blijft opslaan; het precedent dat ze hebben geschapen (nu en in het verleden) is behoorlijk in hun nadeel.

Kern van verhaal is dat Eufy praktijken uitvoert zonder goedkeuring van de gebruiker en als ze betrapt worden ze het ontwijken, ontkennen en zo snel mogelijk proberen te verhullen:
https://twitter.com/Paul_Reviews/status/1597213858959020033

Paul Moore heeft schijnbaar ook al juridische stappen genomen en Information Commissioner's Office (ICO) wil het mogelijk ook onderzoeken.

[Reactie gewijzigd door Piet91 op 28 november 2022 21:14]

Alleen jammer dat de youtuber diverse uitspraken doet, zonder ze te demonstreren. Hij had er mogelijk veel meer uit kunnen halen. Dat Eufy zou zeggen dat de verwijderde afbeeldingen "slechts" 24 uur bewaard zouden blijven onder het mom van cdn caching etc, kon hij zien aankomen. (Ook al was het langer dan 24 uur, Eufy zou het gemakkelijk ter plekke kunnen verbergen, na het contact met de Youtuber.)

Vooral het gedeelte van massale faceherkenning, zonder demo, is een gemiste kans, die mogelijk vanaf nu niet meer aan te tonen is, omdat ze het kunnen gaan verbergen.
Eufy lijkt inderdaad bezig met zoveel mogelijk gaan verbergen:
Quick update on the #eufy situation...

It appears they've removed the background call which reveals the stored images - but not the footage itself.

They also encrypted other calls to make it almost impossible to detect.

This is NOT how it should be handled.
https://twitter.com/Paul_Reviews/status/1597213858959020033
Wat overigens wel redelijk wordt aangetoond in de video, maar niet echt duidelijk wordt gezegd, is dat er gezichtsherkenning wordt uitgevoerd binnen eenzelfde user account. Althans, daar lijkt het op:

Op 2:05 laat de Youtuber een detectie van zijn gezicht zien uit de "ai_faces" field.
Op 3:46 heeft hij de camera een nieuwe motion detection laten uitvoeren, maar opvallend is dat "ai_faces" met oude data komt, en het beeld dat ook in 2:05 te zien is, i.p.v. een nieuw beeld van zijn gezicht.

Onduidelijk is of de foto uit 2:05 ook bij de detectie event van 2:05 hoort, of van een nog eerder moment. De Youtuber legt dat ook niet duidelijk uit, en gaat er waarschijnlijk vanuit dat zijn verhaal op dat punt al duidelijk is, wat het dus niet helemaal is.

Het wekt de suggestie dat de camera bij het voor het eerste herkennen van een gezicht, een "ai_face" record aanmaakt, en bij vervolg detecties hetzelfde record er aan koppelt. Wat dus zou betekenen dat Eufy in ieder geval binnen eenzelfde user account gezichtsherkenning uitvoert. De vraag is of het ook buiten eenzelfde account gebeurt, wat dus niet aan is getoond in de video, maar wel door de Youtuber wordt beweerd.
Is gezichtsherkenning in de EU op Euvy apparaten ook beschikbaar? Lijkt me namelijk niet in lijn met de GDPR
Het artikel schiet helaas tekort
Eufy is al eerder negatief in opspraak geweest vanwege ernstige lekken en onduidelijkheid rond security zaken waar er niet altijd helemaal goed en tijdig wordt gereageerd lijkt het. Dit terwijl het een productlijn betreft waar het in grote mate om vertrouwen draait.

nieuws: Eufy-gebruikers kunnen camerabeelden van andere gebruikers inzien doo...

Owners Move To Ditch High Risk Eufy Security Cameras, Distributor Fails To Say Where Servers Are Located

Anker Eufy smart home hubs exposed to RCE attacks by critical flaw

[Reactie gewijzigd door Bor op 28 november 2022 07:43]

Zodra bedrijven met "Militaire kwaliteit versleuteling" gaan strooien dan weet je dat ze niet weten waar ze het over hebben
Die term 'Militaire kwaliteit versleuteling' geeft bij mij een paar extra vragen:
Welke militair? van welk land? Dat geeft nogal een verschillend beeld. Ik heb het idee dat er militaire organisaties zijn die alles aftappen/kopiëren bij het verwerken.
Militaire versleuteling van 1970 was toen ook best wel goed maar volgens mij zijn de meeste van die versleutelingen met de huidige apparatuur wel te ontsleutelen.
Militaire versleuteling van 1990 had volgens mij nogal veel achterdeurtjes (en zijdeuren?).

En waarom geen open source versleuteling? Waarom de echte versleuteling niet vermeld? En bij de meeste versleutel functies hoort ook een seed. Hoe is die geregeld?
Anker is een Chinees bedrijf. Dat betekend dat men zich voor versleuteling aan de Chinese wet moet houden. Dat houdt in dat er dus een achterdeur in moet zitten waardoor de gegevens "ingeval van nood" voor de Chinese overheid leesbaar moeten kunnen worden gemaakt.
Die regel maakt dat Chinese bedrijven geen gebruik kunnen maken van open source versleuteling en is tevens de rede dat men vaag is over de versleuteling.

De enige manier waarop je kunt zorgen dat de Chinese overheid bij je beelden kan is door ze uitsluitend lokaal op te slaan.
Jij schrijft:
De enige manier waarop je kunt zorgen dat de Chinese overheid bij je beelden kan is door ze uitsluitend lokaal op te slaan.

En dat is nu de kern van het probleem, dat blijkt dus niet mogelijk.

YouTuber Paul Moore toonde dat thumbnails van Eufy te zien zijn in de webinterface van de dienst. Daarbij heeft hij de optie om beelden online op te slaan NIET ingeschakeld
Dat is prima mogelijk. Gewoon de dns via een pi-hole laten lopen en alleen ntp (tijdsync.) door laten lopen.
Zelfde doe ik bij mijn reolink camera's.
Heb je hier misschien meer informatie over alsjeblieft? Dat betreffende pi-hole i.c.m. ntp? Ik wil ook graag dit verkeer naar China blokkeren.
eenvoudigste is een raspberry pi voorzien van Pi-Hole.
Daarna het dns verkeer via deze laten lopen, dit doe ik ook voor mijn LG tv ed. Zat apparaten die "zomaar" verbinding maken met het internet.

Voor de camara laat ik enkel de ntp requests door, zodat de timestamp juist blijft voor de camera.
De LG kan enkel kijken naar updates en streaming serviceses, dus zo min mogelijk klantdata of zelfs reclame.

Voor de tablads van mijn dochters heb ik hem nog wat strakker staan aan filtering.
En dan maar hopen dat ze de servers die je wil blokkeren niet hardcoded in de firmware hebben staan (IP)
En daar heb je dan weer DNAT voor/tegen.
Of de Eufy spullen in een apart VLAN zetten en firewallen zodat ze alleen bij NTP en bepaalde IPs kunnen.
Anker maakt blijkbaar onderscheid in bewegende beelden en thumbnails. De bewegende beelden kan je wel lokaal opslaan. De thumbnails noemt Anker geen beelden (maar thumbnails) worden blijkbaar altijd naar de server gestuurd. Daar thumbnails verkleinde, statische beelden zijn is de bewering dat "de beelden" niet online worden opgeslagen op zijn minst rede tot verwarring. Eigenlijk is klopt die bewering dus niet.

Het uitsluitend lokaal opslaan kan natuurlijk wel, maar dan zal je de ip-adressen van Anker moeten blokkeren.
Bedankt voor de tip: Ik heb nu het internet verkeer in de router geblocked en ze gebruiken nu alleen Homekit Secure Video van Apple, werkt prima, thuis kan ik de camera's bedienen via de Eufy app, maar niet op afstand, helaas. Opnemen doen ze nog steeds via homekit secure video.
De enige manier waarop je kunt zorgen dat de Chinese overheid bij je beelden kan is door ze uitsluitend lokaal op te slaan.
Dat is overigens wat ze ook zeggen of suggereren, dat ze het lokaal opslaan, met sd kaart en local storage. Het belangrijkste is dat een fabrikant end-to-end encryptie gebruikt (wat bij Eufy niet het geval is), zodat de locatie niet meer uit maakt.

[Reactie gewijzigd door Cyb op 28 november 2022 10:36]

"Militaire versleuteling" is gewoon marketing taal voor AES, het meestgebruikte encryptie algoritme. AES is (volgens mij) het enige algoritme wat gebruikt mag worden om militaire/staatsgeheime data te beveiligen
Is dat? Als een bedrijf met ‘militaire versleuteling’ adverteert dan moet ik altijd aan de Enigma denken.

https://nl.m.wikipedia.org/wiki/Enigma_(codeermachine)

Dus militaire versleuteling is voor mij net zo’n nietszeggende marketing-kreet als de bekende “wij van wc eend adviseren wc eend” of “mmm van mora” reclame uitingen.

Het zegt echt niets over de toegepaste encryptietechniek of sleutellengte.
Hetzelfde als cremes die zeggen dat iets "Dermatologisch getest" is :') Leuk, maar wat was de uitkomst?
Ah, ik ben dus niet de enige die zich dat elke keer weer afvroeg! :)

Net zoiets als "als beste uit de test gekomen", maar als dat met een onvoldoende is dan hoef ik het nog steeds niet.
of: in afwachting op Europese goedkeuring
Je kan inderdaad een Sony'tje doen en een vaste ipv een random seed gebruiken.
Dit is inderdaad een term waarop je juridisch niet gepakt kan worden. Iets zeggen zonder het te zeggen zeg maar.
Hmm, "Military grade security", die term ben ik eerder tegengekomen, in een presentatie "Smart Home - Smart Hack".
https://www.youtube.com/watch?v=urnNfS6tWAY op 4m35

Om te huilen... ;(
Een OEM-fabrikant die een heel scala aan producten aanbiedt om te re-branden.
Jazeker, op zijn minst had daar de woorden 'blockchain' en 'crypto' bij moeten staan. :+
Enigma was ook militaire kwaliteit versleuteling...

*nieuwe rotor in een deurbel ramt*
To be fair: Daar gooit iedereen mee en de gemiddelde consument is daarvan onder de indruk. En als jij als fabrikant dan niet met die term gooit val je bij de gemiddelde consument af als die camera's aan 't vergelijken is: "Ja, maar deze heeft militaire kwaliteit versleuteling en deze niet". En als je dan huis-tuin-en-keuken AES gebruikt, dan, ja, gebruik je "militaire kwaliteit versleuteling" en mag je dat best vermelden (ondanks dat 't hol is).

[Reactie gewijzigd door RobIII op 28 november 2022 10:29]

Als je naar het geheel van uitspraken van Eufy kijkt, dan valt het meer onder misleiding: de suggestie wekken alsof privacy goed beschermd wordt en alleen lokaal blijft, maar vervolgens alles naar een cloud sturen en er face recognition over heel gooien.
Dat zegt gewoon laagst mogelijke kwaliteit die aan te kopen valt, waarbij wel zo veel mogelijk winst gaat naar de eigenaar die buddies is met de generaal(s) :+

Onzin marketing inderdaad.
Maar het is niet gelogen. Het probleem is alleen dat het helemaal niks zegt. Althans. Het is niet bijzonder.
Het leger zal ongetwijfeld ook AES en dergelijke gebruiken :)

Het feit dat we, als we naar een willekeurige website gaan, ook zeer waarschijnlijk 'militairekwaliteitversleuteling' gebruiken laten ze stil natuurlijk. VPN-providers gebruiken ook dergelijke termen om een beetje aan angstzaaierij te doen.
als iemand die erg lang rond heeft gelopen als millitair is er weinig wat mij meer angst geeft dan iets wat aangeprezen word voor millitiair gebruik of op millitair nivo zit.

doe maar commericeel of industrieel nivo, dat geeft mij veel meer zekerheid dat het niet rotzooi is.
die "Militaire kwaliteit versleuteling" betekent gewoon AES-265, de standaard die herbij gebruitk word heet TLS 1.2. dat betekekent dus gewoon SSL/TLS. de encryptie standaard was ooit door de US Army ntwikkelt samen met darpa. het klopt dus wel, het is alleen niet speciaal.
Het uitgangspunt "Security by Design" blijkt nog altijd onvoldoende te worden toegepast bij verschillende aanbieders. Ze moeten echt wat meer hun best gaan doen want op deze manier kan het echt niet.
Slecht incompleet artikel. De files werden langer dan 24 uur bewaard en de files waren na deleten account nog benaderbaar.. Files/API Uploads werden niet geencrypt en zullen geencrypt worden.. waarschijnlijk zodat gebruikers niet door hebben dat hun info wordt verstuurd... Beelden kunnen gewoon remote via VLC gestreamd worden zonder encryptie en authenticatie, en ze gebruiken soms 128bit encryptie "militarygrade my ass" deze encryptie was zichtbaar in text... Eufy wordt verkocht met lokale opslag zonder cloud, dit gaat dus wel naar de cloud! Dit is een enorme AVG inbreuk los van het feit dat op de server gezichtsherkenning wordt toegepast en gezichten worden getagged,. Hier kan je niet half over schrijven tweakers! Doe het goed of niet!

[Reactie gewijzigd door Greybeard op 29 november 2022 11:17]

Hoe nobel ook gedacht, voor bepaalde functionaliteiten zullen we meer en meer een server van de fabrikant nodig hebben. Begrijp me goed, dat gegeven maakt de consument steeds meer afhankelijk en ook kwetsbaar. Of begint voor de consument een markt te ontstaan voor ‘thuisservers’ zoals bv een hue bridge, Alpha Home van Alpha Innotec, een NAS, etc?

[Reactie gewijzigd door austin_77 op 28 november 2022 07:19]

Dat is er al lang, en nog gebruiksvriendelijk ook. Denk aan Synology en Qnap.

Alleen dat kost initieel behoorlijk en moet je ooit vervangen. Ook moet je alles wel zelf (in)regelen en het gehele ecosysteem bedenken en aanschaffen.

Diensten kost vaak maandelijks een beetje en doet het meeste werk 'voor' jou. En dit kost vaak wat gegevens, hoe goed bedoeld dan ook. En logisch, ze kunnen weinig met geen gegevens natuurlijk.

Helaas interesseert het 99% van de mensen geen fluit. Zie oa ook hoeveel er nog van social media gebruik wordt gemaakt.
Vergeet de stroom kosten niet. Een beetje NAS trekt toch gauw al zo een 20 watt, 170kwh per jaar! Zit je met de huidige energieprijzen toch al gauw op de 70 euro per jaar, kleine 6 euro per maand alleen al om je NAS in de lucht te houden.
De qnap apparaten met 2 disks gebruiken in slaap stand 8 tot 10 watt (volgens de website). In die zelfde slaapstand gebruiken de disks praktisch niets (die zouden uit staan).
In actief gebruik wordt dat 12 tot 18 watt. Tel daar nog een paar watt bij voor de disks/ssd en je zit inderdaad aan de 20 watt. Hoe dat uit komt met opname van af en toe en video beeldje zal de tijd leren.
Slaapstand voor het capturen van videobeelden van een CCTV camera lijkt mij niet echt een optie en een beetje slim huis verstuurd voortdurend data naar de server om evt. opgeslagen te worden. Ook voor de disks is het dan beter voor de levensduur om hiervoor NAS disks te gebruiken die 24/7 aan blijven i.p.v. tientallen keren per dag een spin-down/-up te doen, o.a. met de temperatuurverschillen die dan optreden.
Niet dat ik het gebruik maar er zijn wel slimmere constructies die ook in de qnap zitten of in ieder geval mogelijk zijn:
Tegenwoordig zijn huis-tuin-en-keuken nas systemen ook steeds vaker van ssd-s voorzien. Die hebben geen opstart vertraging waardoor de slaapstand van de nas ook sneller kan in gaan.
Met ssd en hdd gecombineerd kan de ssd als buffer dienen voor een bepaalde tijd of voor een bepaald aantal beelden. Dan hoeft dat minder vaak naar hdd te gaan zodat die minder vaak hoeft op te starten.
Met veel video software voor bewakingsdoeleinden kan beweging worden gedetecteerd. Zolang er geen beweging optreed, hoeft er niets opgeslagen te worden. Die software kan ook rekening houden met wind beweging en licht donker veranderingen.

Er is voor een nas genoeg mogelijkheid om wel degelijk in slaap te gaan, ook als ze voor bewakingsdoeleinden beelden moet opslaan.
Als jij je smart home en je camera beelden etc continu naar dat ding door stuurt zou hij weinig in slaap stand staan. Tel bij die stroom kosten je aanschaf kosten en eventueel het uren wat je eraan kwijt bent met updates en configureren etc zal de gemiddelde cloud dienst waarschijnlijk goedkoper zijn. Je krijgt er mits je er beetje verstand van hebt natuurlijk wel een stukje privacy voor terug.
Ik denk zelfs met Syno of Qnap dat de apps die je daar op installeert alsnog verbinding maken met de buitenwereld. Gewoon omdat het zoveel te makkelijk is voor de ontwikkelaars met beschikbare endpoints, geen firewall issues, etc.. Als een relatieve leek een NAS koopt en dan met zijn leek-kennis een app kiest ... zelfde issue. Dan moet je toch echt bewust weten van een app die je volledig, en dan ook echt volledig, zelf in beheer hebt.
Bottom line, puur een thuisserver gaat dit nog niet oplossen.
Het wordt tijd dat routers/modems standaard OPen Vpn servers gaan ondersteunen. En dat al die internet of things bij default op het lokaal netwerk draaien. Veel veiliger omdat er veel minder point of failers zijn. En betere privacy.
Veel veiliger omdat er veel minder point of failers zijn.
Minder (single) point of failures is nog maar de vraag; de meeste mensen hebben geen high available setup met redundante componenten, noodstroom etc zoals de grotere leveranciers dat wel hebben.
Dat klopt deels.

Als je thuis een stroomstoring hebt, gaat die cloud-oplossing ook niks voor je doen natuurlijk? Als je router plat als hij geen stroom heeft, gaat je camera ook niks opsturen :). En voor dat stukje is die cloud-oplossing natuurlijk juist weer een extra parij die een verstoring kan hebben.

Het stukje opslag in de cloud is uiteraard wel meer betrouwbaar op het geval van verstoringen, dan een standaard RAID1 of 5-NASje wat we gemiddeld genomen thuis hebben. (uitzonderingen daar gelaten natuurlijk). (uiteraard zullen er vast een handje vol mensen op dit platform zijn die thuis 2 NASen hebben en die in sync hebben met nog twee NASen bij iemand anders thuis, maar dat is niet de gemenedeler :) )
Als je thuis een stroomstoring hebt, gaat die cloud-oplossing ook niks voor je doen natuurlijk?
Dan kan je er via een ander device, bijvoorbeeld mobiel, nog bij.
Als je router plat als hij geen stroom heeft, gaat je camera ook niks opsturen :).
Dat kan je ondervangen door lokaal te cachen en te versturen nadat de verbinding herstelt is. Bij stroomuitval gaat een oplossing thuis je doorgaans niet helpen.
idd,
leek zijnde is het altijd een risico als je bij installeerd
Of begint voor de consument een markt te ontstaan voor ‘thuisservers’ zoals bv een hue bridge, Alpha Home van Alpha Innotec, een NAS, etc?
die "thuisserver"-functionaliteit hebben fabrikanten juist afgenomen door de jaren heen om alles via hun cloud te laten lopen om het "goedkoper" te maken, maar stiekem ook een vendor lock-in te creëren.

Er zijn een hoop tweakers die omwille van die situatie bepaalde merken mijden en een systeem willen dat volledig onafhankelijk is en ze enkel voor hun eigen device een uitzondering op hun firewall willen maken zoals het hoort.
We hebben de servers van de fabrikant niet nodig, ze maken zichzelf 'onmisbaar'. Als gegevens naar een server moeten worden verstuurd om ze vervolgens weer op je app op de telefoon te krijgen kun je dat ook gewoon gelijk krijgen op de app.

Een tijdje een Smartwares ip camera gehad die meldingen stuurt als er beweging is. Daar was niks over in te stellen en weet ook niet of bij alleen lokaal (sd kaar)/eigen server opslaan er ook niet iets wordt verstuurt. Deze camera werd vergezeld door een Windows compute stick als server (voor RDS toegang op lokale netwerk) maar sloeg de beelden ook op een externe server op.

Niet iedere gebruiker is even technisch, maar het zou fijn zijn als er ook goede hardware zou worden gemaakt die volledig 'lokaal' werkt en dus niet met een fabrikant hoeft te 'praten' om wat voor reden dan ook. Een firmware update kun je ook handmatig installeren.
Op welke manier is een hue bridge en thuis server dan? Als wat dat ding doet staat in de Signify cloud. En dat zijn ze trots op ook, ze kunnen precies zien wat jij met je ikea lampen doet, bijvoorbeeld.....
Nee hoor. Connectie naar de cloud is optioneel. De Hue bridge werkt volledig lokaal, heeft zelfs geen internet verbinding nodig om in huis de lampen te bedienen.

Alleen wanneer je buitenhuis besturing wil is de cloud nodig.
Of begint voor de consument een markt te ontstaan voor ‘thuisservers’ zoals bv een hue bridge, Alpha Home van Alpha Innotec, een NAS, etc?
Die is er al erg lang?! Volgens mij zit jij een beetje vast onder een steen, want dit is al jaren het geval.

Ik ben sowieso een apart geval, want ik draai sinds 2014 oude enterprise servers thuis, omdat een simpel klein NASje niet voldoet aan het 'horsepower' dat ik nodig heb voor m'n omgeving.
Een klein mini ITX Nasje met een goede CPU (5600 of 5700x) zou ruim voldoende moeten zijn voor vrijwel alles wat je zou draaien. En nog veel zuiniger (en meestal sneller)dan zo'n giga doos met super luide fans.
Ik acht die kans redelijk klein. Meestal heeft een ITX plankje maar 2 RAM sloten en ik heb er nu 6 in gebruik. Ik draai een 16c/32t CPU en heb wel wat I/O nodig voor m'n andere spul.

Gezien je niet weet wat ik heb draaien, is een assumtie maken een best onhandig.
Of begint voor de consument een markt te ontstaan voor ‘thuisservers’ zoals bv een hue bridge, Alpha Home van Alpha Innotec, een NAS, etc?
Tot op zekere hoogte is die er al maar om het echt goed te laten werken moeten de grote techbedrijven (google, microsoft, apple, amazon, faceboook...) mee gaan doen en die willen dat totaal niet. Ik zie dat ook niet veranderen tenzij de overheid zich er mee gaat bemoeien, zoals de overheid ook al heeft afgedwongen dat online diensten je een mogelijkheid moeten geven om je eigen data te backuppen.

We zouden al heel erg ver komen met een standaard storage oplossing met niet meer functionaliteit dan "schrijf een file" en "lees een file". Als je data alleen wordt opgeslagen op je eigen storage dan geeft dat al een hoop mogelijkheden om het zelf te (laten) beheren (door een partij naar keuze).
Technisch gezien zijn er talloze geschikte oplossingen maar er is niet een zo standaard dat je er overal gebruik van kan maken, we gaan de overheid nodig hebben om dat af te dwingen, net zoals de overheid standaard stopcontacten en oplaadkabels afdwingt.

Om het echt goed te doen moeten we onze applicaties zo gaan bouwen dat ze data kunnen verwerken zonder deze direct in te zien, bijvoorbeeld omdat de data in versleutelde vorm verwerkt kan worden.
Volgens Eufy is het opslaan van de thumbnails nodig om pushmeldingen te laten functioneren zonder de telefoon van gebruikers vol te laten lopen met screenshots van die meldingen.
meldingen blijven niet eeuwig staan, en/of screenshots kan je overschrijven of limiteren
technisxh gezien een volledig onzinnige kul reden
Er wordt ook aangegeven dat de links na 24 uur ongeldig worden. Eufy zelf is de enige die kan bevestigen of de beelden dan ook echt worden verwijderd.

Ik snap wel dat ze de screencaps tijdelijk op moeten slaan, aangezien er ook een externe dienst bij komt kijken voor push notificaties. Die moeten dan natuurlijk het beeld voor de melding hebben, en die moet publiek toegankelijk zijn aangezien devices die de melding krijgen deze afbeelding dan weer downloaden als onderdeel van de push melding.

Ja, ze kunnen in theorie alles lokaal trekken. Het probleem? Dan is de app constant bezig om in contact te blijven met je camera systeem. Dat trekt weer harder aan de accu van je telefoon, en dat veroorzaakt weer “1 ⭐️, App suck battery! WTF Eufy?!!?!?!!!!” reviews.

Fair van Eufy? Nee. Die zouden je de optie moeten geven om wel of geen screenshots voor push meldingen mee te sturen. Net als dat ze gewoon open moeten zijn over dit soort acties.
Fair van Eufy? Nee. Die zouden je de optie moeten geven om wel of geen screenshots voor push meldingen mee te sturen. Net als dat ze gewoon open moeten zijn over dit soort acties.
Helemaal mee eens dat ze hier open en eerlijk over moeten communiceren, al kan ik me ook zo voorstellen dat de gemiddelde gebruiker hier niet bij stilstaat (of het alsnog niet boeit). Doet overigens niets af aan het feit dat ze er alsnog gewoon transparant over moeten zijn.

Overigens zit er in de Eufy app een mogelijkheid om te regelen welke soort meldingen je wilt ontvangen, met daarbij de keuze om hier wel of geen screenshot bij te krijgen (in ieder geval bij mijn Eufy deurbel is dat het geval). Die keuze heb je dus in ieder geval als gebruiker, dus dat is al iets.
Fair van Eufy? Nee. Die zouden je de optie moeten geven om wel of geen screenshots voor push meldingen mee te sturen. Net als dat ze gewoon open moeten zijn over dit soort acties.
FYI, die optie is er gewoon. Ik heb pushmeldingen aan staan zonder een plaatje (want sneller en Garmin ondersteunt geen beelden). Mijn vrouw heeft ze mét plaatje aanstaan, want dan kan ze kijken op haar iWatch wie er staat.

Dus, niet allee is die optie er, maar is customizable per gebruiker voor je apparaat.
Die zouden je de optie moeten geven om wel of geen screenshots voor push meldingen mee te sturen.
Die optie geven ze. Je kunt meldingen met alleen tekst versturen.

Heb alleen niet gecheckt of ze dan alsnog de thumbs naar de server sturen. Ik vermoed van wel, gezien ze ook voor de video index worden gebruikt.
Want bij elke notificatie wil je dezelfde screenshot zien (wanneer je overschrijft is dat het gevolg namelijk)? Handig, zeker bij notificaties wanneer iemand op de bel drukt... ;)

[Reactie gewijzigd door CH4OS op 28 november 2022 08:51]

Ik heb een EUFY-camera en in principe ben / was ik er heel tevreden mee.

Dus momenteel ingelogd in mijn externe EUFY-portal waarvan ik moet bekennen dat ik niet wist dat die er ook bij zat omdat ik alleen de app had voor bediening, krijg je als je de handleiding niet goed doorleest.
En aangezien ik al lang en breed op het werk ben moet ik nu even wachten tot een van mijn kinderen naar school gaat voordat ik weer beelden kan zien.
Ben wel erg benieuwd hoe open en publiekelijk toegankelijk de beelden zullen zijn.
De thumbnail url is alleen te vinden via de portal (of netwerkverkeer van je telefoon).

Thumbnail Beelden zijn vervolgens wel publiek via internet benaderbaar als je die url hebt.


Als de dier of persoonsherkenning ook aan staat , zal er een ingezoomde thumbnail van het gezicht zijn vermoed ik, aangezien dat ook in de app zichtbaar is.

De beeldherkenning/verwerking is dus wel lokaal gedaan om de persoon of dier te herkennen, maar het resulterende ingezoomde thumbnail gaat net als de startthumnail van de video mee naar de servers.

[Reactie gewijzigd door Get!em op 28 november 2022 08:19]

Het is een beetje afhankelijk van wat je hebt. Ik heb de EufyCam 2 hangen, en ook die beelden zie je op het portaal.

Vervolgens heb ik geprobeerd of ik de locatie van die thumbnail kon vinden. Die stond er ook in, met een link naar AWS. Dat gaf aan dat de thumbnail in ieder geval op een AWS server staat.

Toen ik vervolgens probeerde om alleen de thumbnail op te halen door alleen de link te gebruiken zonder de code erachter liep ik tegen een unauthorized melding aan. Dus wat betreft de Eufycam 2 systemen, ja je thumbs staan op de server (allemaal dus, ook die van vorige maand) maar die zijn niet publiek benaderbaar.

Dit probleem zal overigens niet alleen bij Anker spelen, maar bij alle diensten waarbij een IoT device buitenshuis benaderbaar is met een app zonder dat je daarvoor iets met port forwarding moet doen. Het IoT apparaat zal altijd een phone home doen, net als je telefoon als je de app opent.
Met het inloggen op de portal en dan de developermode van chrome actief krijg ik niet direct de Get_all_history_record te zien, wel staat er een url met een thumbnail bij en als ik die link plak in een browser, dan kan ik de foto inderdaad zien zonder in te loggen.

Moet er wel bij zeggen dat in die link ook meteen een stukje tekst staat met AMZ-Credential , date, signature, etc, allemaal achter de URL met jpg.
(ik heb een deel van de informatie dan ook vervangen voor XX-jes.)
Haal ik de info eraf achter de .JPG, of pas ik iets aan in de signature, dan faalt het meteen.
Dus inderdaad, als je mijn volledige URL hebt met mijn station-nr en credentials / Signature kun je deze openen. Dan vraag ik me af in hoeverre iemand die URL-data kan uitsniffen, het hele verkeer is voor zover ik weet wel encrypted. ?
Het is ook niet echt een lek. Principe van time based credentialstoken wordt veel meer toegepast. Wat nog zou kunnen is de token een stuk korter geldig te maken, of instelbaar korter. Bijv 1 minuut.

Het bijbehorende: we sturen geen beelden / thumbs naar de server; dat is ook deel van het nieuws.
Maar EU users worden tegenwoordig al by default naar de EU servers gestuurd.
Wat eufy ook niet populair maakt is dat je geen rechtstreekse stream uit je deurbel of diverse cameras kan halen en deze aan je NAS of NVR kan koppelen zodat je de eufy servers helemaal niet meer nodig hebt.

Ze weigeren telkens de functionaliteit in te bouwen.
Dit kan wel met Eufy Indoor Cam 2K.
Dit kan wel met Eufy Indoor Cam 2K.
Ik heb ook de indoor 2k inderdaad, en de stream kan je er wel uit halen. Maar mijn Deurbel 2K daar in tegen weer niet. Eufy schuift het op hun forums weg dat het niet kan omdat het teveel batterij zou verbruiken, maar blijkbaar kan het dus wel.

[Reactie gewijzigd door Luchtbakker op 28 november 2022 08:52]

De eufy cams kunnen gewoon op een powerbank draaien, ook de 2K indoor. Dus aan de batterij zal het niet liggen, webcam de grootte ervan ;)
Eufy schuift het op hun forums weg dat het niet kan omdat het teveel batterij zou verbruiken,
Is ook dikke bullshit, mijn Wired 2K Deurbel heeft ook geen streams.
En zijn er deurbellen die dat wel ondersteunen?
Doorbird kan je icm onvif de stream bijv opnemen in Surveillance Station op Synology of andere camera beveiliging software.
En zijn er deurbellen die dat wel ondersteunen?
Van Eufy: Nee, geen enkele. Althans, niet voor wat ik tegen ben gekomen.
Van andere merken wel, zoals Hikvision, Ubiquiti, En diverse die op Tuya werken.
De nieuwe Reolink video deurbel. 5MP en volledig lokaal te bedienen.
Nog een groot probleem met de eufy camera's is dat ze de camera beelden verwijderen nadat de camera d.m.v. een knop op de camera zelf ontkoppeld word van de homebase. Dus ik zou je camera maar hoog genoeg hangen dat ze niet gestolen worden en laag genoeg dat de motion tracking blijf werken.Beelden van wie het gedaan heeft heb je dan niet.Wel erg slecht dat dit al anderhalf jaar bekend is en dat dit nog steeds niet opgelost is.
Ik heb er zelf twee gekocht toentertijd met het idee dat dit soort risico's er aan verbonden zaten. Er zat in mijn geval wel een RTSP stream in die je wel eerst in de app moest activieren. Ik heb daarna gekeken welke calls die devices maakte en dit geblokkeerd in m'n firewall en de apparaten in een eigen vlan geplaatst. Die werkt al een jaar prima.
Mijn eufy spul gelukkig tijdig teruggebracht! Werkte sowieso voor geen meter maar dit was voor mij extra reden om het niet meer te gebruiken

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee