Eufy voegt melding over cloudopslag camerathumbnails toe aan app na kritiek

Eufy heeft een vermelding aan zijn Security-app toegevoegd, waarin staat dat de app gegevens naar de cloud verstuurt wanneer thumbnails zijn ingeschakeld. Eufy kreeg afgelopen weken kritiek omdat het bedrijf dat deed, maar adverteerde dat de dienst volledig lokaal werkte.

Eufy Security-melding thumbnails — De nieuwe melding in Eufy Security.
Bron: ZDNet

Anker-dochtermerk Eufy heeft de wijziging toegevoegd in versie 4.5.1 van zijn Security-app, merkte ZDNet op. De update voegt een stuk tekst toe aan de instellingen. Daarin wordt uitgelegd dat thumbnails afkomstig van Eufy's beveiligingscamera's, die gebruikt kunnen worden in pushnotificaties, 'tijdelijk opgeslagen worden' op de cloudservers van het bedrijf. Gebruikers hebben de optie om notificaties te krijgen met alleen tekst, die volledig lokaal moeten zijn, of pushmeldingen met thumbnailafbeeldingen via de cloud.

Eufy voegt de meldingen toe na kritiek van gebruikers. Youtuber Paul Moore toonde in november aan dat de thumbnails van Eufy te zien waren in de webinterface van de dienst, ook al was de optie voor cloudopslag uitgezet. Dat terwijl Eufy adverteerde dat gebruikers de optie hebben om zijn camera's volledig lokaal te gebruiken. Het bedrijf maakte niet kenbaar dat thumbnails alsnog naar zijn cloudservers worden verstuurd.

Later bleek ook dat Eufy-camerastreams op afstand in te zien waren via VLC door verbinding te maken met een specifieke url. Daarvoor is volgens Paul Moore geen authenticatie nodig, terwijl Eufy stelt dat camerabeelden versleuteld worden. Eufy ontkende dat eerder tegenover The Verge. Dat medium was ook in staat om eigen Eufy-beelden zonder authenticatie in te zien via VLC, hoewel de benodigde url, die verandert per stream, daarvoor eerst verkregen moest worden. Het bedrijf gaat hier niet op in in de patchnotes van zijn nieuwe Eufy Security-update.

IT-banen

Reacties (240)

240

237

111

Wijzig sortering

iCore 6 december 2022 11:51

Wat extra informatie (over het drama & Anker's leugen (meer dan alleen de salespitch)):

Eufy is een subbrand van Anker (een chinees bedrijf)

Eufy’s “local storage” cameras can be streamed from anywhere, unencrypted

Even over de claim dat de URL onmogelijk / erg moeilijk te bruteforcen is:

(Update, 5:42 pm ET: Ars chatted with wasabi, who confirmed that they could view Eufy camera streams from systems outside their network without authentication or other Eufy devices on that system. "It seems Eufy is trying to simply block people from viewing the data their (web) app sends instead of actually fixing the issue," they wrote.

Wasabi also noted that the way the remote URLs are configured, there are only 65,535 combinations to try, "which a computer can run through pretty quick.")

The Verge - Anker’s Eufy lied to us about the security of its security cameras

Eufy’s commitment to privacy is remarkable: it promises your data will be stored locally, that it “never leaves the safety of your home,” that its footage only gets transmitted with “end-to-end” military-grade encryption, and that it will only send that footage “straight to your phone.”

So you can imagine our surprise to learn you can stream video from a Eufy camera, from the other side of the country, with no encryption at all.
--
Worse, it’s not yet clear how widespread this might be — because instead of addressing it head-on, the company falsely claimed to The Verge that it wasn’t even possible.

When we asked Anker point-blank to confirm or deny that, the company categorically denied it. “I can confirm that it is not possible to start a stream and watch live footage using a third-party player such as VLC,” Brett White, a senior PR manager at Anker, told me via email.

But The Verge can now confirm that’s not true. This week, we repeatedly watched live footage from two of our own Eufy cameras using that very same VLC media player, from across the United States — proving that Anker has a way to bypass encryption and access these supposedly secure cameras through the cloud.

Most worrying if true, he also claims that Eufy’s encryption key for its video footage is literally just the plaintext string “ZXSecurity17Cam@”. That phrase also appears in a GitHub repo from 2019, too.

Paul Moore - "Eufy leaking your "private" images/faces & names... to the cloud."
Paul Moore claimed: Face ID word dus ook geüpload en gedeeld tussen users (vanaf 4:01 in de video)

Moore also found that a separate Eufy camera linked to a different account was able to identify his face with the same unique ID — implying that Eufy is not only storing facial recognition data in the cloud, but also sharing that back-end information between accounts.

Quote van: https://www.androidpolice.com/more-eufy-security-issues/

--

Anker's Privacy Claims - Snapshot Wayback machine AUG 15 2022

--

Moore offered an update to the situation yesterday, saying that Eufy has removed the “background call” which shows stored images, but not the underlying footage, and that the company has also encrypted other calls to cover its tracks.

Bron: 9To5Google

Als je zo als mij afvraagt, waarom niet meer bwijs / proof of concept vanuit o.a. Paul Moore:

Additionally, Moore says that he was able to stream live footage from his doorbell camera without any authentication but did not provide public proof of concept due to the possible misuse of the tactic if it were to be made public. He has notified Eufy directly and has since taken legal measures to ensure Eufy complies.

At the moment, this looks very bad for Eufy. The company has, for years, stood behind only keeping user data local and never uploading to the cloud. While Eufy also has cloud services, no data should be uploaded to the cloud unless a user specifically allows such a practice.

Furthermore, storing user IDs and other personally identifiable data alongside a picture of a person's face is a massive security violation, indeed. While Eufy has since patched the ability to easily find the URLs and other data being sent to the cloud, there's currently no way to verify that Eufy is or is not continuing to store this data in the cloud without user consent.

Bron: AndroidCentral

[Reactie gewijzigd door iCore op 22 juli 2024 22:05]

Verwijderd @iCore • 6 december 2022 13:56

Even een nuancering, mocht je Eufy hebben: je hoeft niet direct de boel uit het raam te gooien (e-waste is slecht, enz.)

Dit is een heel complex technische discussie en nieuwssites blazen dingen graag op of brengen het zo summier dat de waarheid (die bij sommige onderdelen in het middel ligt) verloren gaat. Vooral schreeuwerige media (zoals LTT) trekken conclusies voordat ze er over nadenken.

The hook-up heeft hier een goede opsomming van gemaakt: The Internet is WRONG about Eufy. (Mostly)

Kort door de bocht:
Wil je notificaties? Dat gaat over het internet (nee, nooit lokaal) en wordt ook meestal afgehandeld door Apple of Google. Dus als je denkt dat je een lokale oplossing hebt maar notificaties gebruikt, dan heb je geen lokale oplossing (surprised Pikachu). Eufy stuurt een afbeelding mee met de notificatie die opgeslagen wordt op AWS voor caching. Dit zorgt voor een snelle preview, iets dat gebruikers wel zo prettig vinden. Het is ook een oplossing die overal werkt (geen portforwarding nodig waar wel grote problemen mee zijn) ongeacht de internet snelheid thuis (die in veel landen niet tof is). Die afbeeldingen staan daar niet versleuteld want de notificatie kan daar niet omgaan. Er wordt wel een complexe URL gebruikt die niet te raden is. Er gaan wel verhalen dat je de gehele afbeelding mee kan sturen in de notificatie maar het lijkt mij sterk dat Apple of Google grote afbeeldingen toestaat. Daar is een notificatie service (zeker gratis) niet voor bedoelt.

Wat betreft de video toegang, het is momenteel niet geheel duidelijk of streams wel of niet 'openbaar' toegankelijk zijn. Ja, ze zijn te bekijken via VLC maar dat komt omdat men de standaard ONVIF gebruikt. Het is nog onduidelijk of ze inderdaad zonder inlog/wachtwoord toegankelijk zijn. The Verge had in ieder geval wel eerst een inlognaam nodig.

Het is dus nog steeds een doorlopend punt en nog niet alles is geheel duidelijk. Wel heeft iedereen blijkbaar al zijn mening klaarstaan op onvolledige informatie, zo te zien.

Let even op, ik verdedig Eufy hier niet. Zij maken reclame met een 'local' oplossing en dat is simpelweg onjuist. Maar er is er een lastige balans tussen beveiliging, gebruikersgemak en performance. Eufy schiet hier door in de laatste twee terwijl beveiliging achter blijft. Maar verwacht niet dat andere leveranciers het veel beter doen (zeker op het prijsniveau van Eufy). Mensen hangen hun hele huis vol met Ring (Amazon) en Google (Nest) camera's. Dat is naar mijn mening een veel groter probleem...

Klauwhamer @Verwijderd • 6 december 2022 14:40

Eufy ligt nu onder de loep en er blijkt vanalles -in het meest gunstigste geval- onduidelijk te zijn. Die onduidelijkheid maakt het helemaal niet complex of technisch. Die onduidelijkheid illustreert vooral dat Eufy forse steken heeft laten vallen op verschillende fronten. Daar komt bij dat Eufy niet echt zin lijkt te hebben in onduidelijkheden (rondom security issues) ophelderen. Het lijkt dat misschien nobel om te stellen dat 'men' niet te hard van stapel moet lopen met conclusies, maar ik vind dat niet zo fair. Aan het einde van de rit maakt iedereen een risico afweging en dit akkefietje (reactie Eufy incluis) hoort als je 't mij vraagt absoluut mee te wegen.

Overigens ben ik mordicus tegen "intelligente" deurbellen en camera's (en eigenlijk álle IoT-zooi).

Verwijderd @Klauwhamer • 6 december 2022 17:28

Eufy ligt nu onder de loep en er blijkt vanalles -in het meest gunstigste geval- onduidelijk te zijn. Die onduidelijkheid maakt het helemaal niet complex of technisch.
Mijn punt is dat er beveiliging, gebruiksvriendelijkheid en techniek wel complex zijn. En zeker met veel onduidelijkheid moet je niet direct conclusies trekken. Het is niet de middeleeuwen waar je de boel maar op de brandstapel gooit zonder bewijs. En ik zie hier nog geen grondig bewijs anders dan misleidende reclame. En daar maakt zowaar iedere fabrikant zich schuldig aan. Nu kunnen we Eufy wel in de fik steken maar mogelijk kunnen we ook als beschaafde mensen eerst wachten op echt bewijs en onderzoek voordat we allemaal onze conclusies trekken?

Die onduidelijkheid illustreert vooral dat Eufy forse steken heeft laten vallen op verschillende fronten.
Het enige wat dit illustreert is dat men bij voorkeur voor gebruikersvriendelijkheid kiest (bij de notificaties in ieder geval) ten nadele van beveiliging. Maar het maakt hun oplossing nog niet onveilig, daar is momenteel geen grondig bewijs voor. Als dat wel zo is, maak dat dan graag kenbaar. Ik zie namelijk iedereen dingen roepen maar geen enkel bewijs anders dan een boel hype en geschreeuw.

Gaan we trouwens ook Home Assistant afbranden gezien die ook rijke notificaties stuurt? Of alle andere apps die dat doen?
We gaan toch wel iedereen aan de dezelfde standaard houden, toch?

Het lijkt dat misschien nobel om te stellen dat 'men' niet te hard van stapel moet lopen met conclusies, maar ik vind dat niet zo fair. Aan het einde van de rit maakt iedereen een risico afweging en dit akkefietje (reactie Eufy incluis) hoort als je 't mij vraagt absoluut mee te wegen.
Zoals ik aangeef, Eufy is hier op veel zaken zeker schuldig maar sommige technische punten die aangehaald worden zijn niet aan hun toe te kennen. Zo werkt die techniek nu eenmaal en als we iedereen die daar gebruik van maakt gaan beschuldigen dan is het hek van de dam. Iedere modern camera systeem met rijke notificaties heeft namelijk de gestelde problemen. Die zijn niet uniek voor Eufy.

Overigens ben ik mordicus tegen "intelligente" deurbellen en camera's (en eigenlijk álle IoT-zooi).
Ik deel die mening maar ben ook zo realistisch dat ik inzie waarom ze zo populair zijn.
En die oplossingen maken zich schuldig aan veelal dezelfde zaken als Eufy (and then some).

Dus laten we eerst maar Amazon Ring op de brandstapel gooien voordat men conclusies trekt over Eufy.
nieuws: Amazon-apparaten kunnen eigen netwerk uitzenden voor ongeautoriseerde...
nieuws: Amerikaanse politie had via heatmap toegang tot locaties van Ring-geb...
nieuws: Amazon beperkte toegang data Ring-medewerkers na misbruik toegang kla...
nieuws: Ring zet advertentietrackers van derde partijen tijdelijk uit
nieuws: Ring ontkent dat het werkt aan 'watch list'-functie van 'verdachte pe...
nieuws: Deurbelmaker Ring werkt samen met 400 politiekorpsen in VS voor opvra...
nieuws: 'Ring-medewerkers konden met alleen mailadres meekijken slimme deurbe...

Klauwhamer @Verwijderd • 7 december 2022 09:24

Waarom maak je er zo'n circus van? Niemand wordt op de brandstapel gegooid en niemand vraagt hier ook om. Feit is dat er veel onduidelijk is -in het beste geval- en Eufy reageert lang niet op alle aspecten even elegant en volledig. Dat op zichzelf is een formidabele reden om als consument te denken "die leverancier sla ik even over" wanneer hij of zij zich aan het oriënteren is op de aanschaf van een produkt. Wat andere fabrikanten of leveranciers doen, doet helemaal niet ter zake, behoudens dan in de afweging ten opzichte van Eufy.

Waarom je een +1 krijgt op een ordinaire whataboutism betreffende Amazon, is beyond me.

Verwijderd @Klauwhamer • 7 december 2022 18:42

Zodat er balans is in de rapportage van dit verhaal. De media presenteert dit op een heel binaire manier terwijl er grote technische en juridische kanttekeningen zijn voor beide perspectieven. Er worden hier uitspraken gedaan in de comments waardoor het wel nu.nl lijkt. Tweakers zou een technische site moeten zijn waar beide perspectieven even zwaar gewogen zouden moeten worden. Zeker de technische.

Dat op zichzelf is een formidabele reden om als consument te denken "die leverancier sla ik even over" wanneer hij of zij zich aan het oriënteren is op de aanschaf van een produkt.
De technische tekortkomingen in dit verhaal gaan op voor de meeste van de leveranciers in dit veld. Er wordt hier gedaan alsof andere producten dit wel op orde hebben (zoals het niet versleuteld presenteren van de notificatie preview) terwijl ook mooie oplossingen als Home Assistant zullen worstelen met dit probleem. De ‘consument’ zal dus een keuze maken op misinformatie en denken ‘als het maar niet Eufy is, dan is het wel goed’ terwijl het A. Nog niet definitief duidelijk is waar Eufy zich schuldig aan maakt anders dan misleidende reclame (wat letterlijk iedereen doet, zet de tv maar aan). En B. Hopelijk verder kijkt dan enkel ‘vermijd Eufy’ en echt gaat nadenken over hun gewenste oplossing. Zeker als ze bijvoorbeeld nu een cloud oplossing hebben. Ik kan mij goed voorstellen dat mensen dit lezen en denken, zie je wel, dat lokale gebeuren is ook gewoon bullshit..

Klauwhamer @Verwijderd • 8 december 2022 09:16

Eh, nee. Er zijn geen grote technische en juridische kanttekeningen. Eufy heeft gezondigd aan een dark pattern. Daar komt bij dat er -vermoedelijk- security issues zijn. Meer is het niet. Wat andere fabrikanten of leveranciers wel of niet doen, doet niet ter zake. Ik wees je daar op ('whataboutism') en jouw reactie is vervolgens het nog eens dunnetjes overdoen.

Klauwhamer @Verwijderd • 8 december 2022 10:13

De suggestie werd gewekt dat de oplossing van Eufy volledig lokaal is en zou blijven. De suggestie werd gewekt dat een cloudomgeving niet van toepassing was. Dat werd gevoedt met de ronkende tekst dat geen 'cloud subscription' nodig was. Achteraf bleek dat er tóch data op een cloud-omgeving terecht kwam, wat conflicteert met de suggestie die gewekt werd. Je begint over "techniek" alsof dat iets heel ingewikkelds is waarvoor je eigenlijk op het MIT moet doceren wil je de complexiteit van dit alles begrijpen maar dat is écht niet zo. Dat is vooral zo omdat jij jezelf added value wil toedichten. Alleen: die is er gewoon niet.

Je kunt nu heel interessant proberen te doen en er een onnodig ingewikkeld verhaal van maken met mitsen en maren en Amazon, maar het doet er niet toe. De essentie van het probleem is precies zoals ik het hierboven opschrijf.

Verwijderd @Klauwhamer • 8 december 2022 11:05

De essentie van het probleem is precies zoals ik het hierboven opschrijf.
Nope, je maakt allemaal aannames en fouten. Enkel het voorbeeld van de data al, als de gebruiker zelf kiest om media toe te voegen aan de notificatie dan moet die ergens opgeslagen en benaderbaar zijn. Dat is een technische vereiste van het notificatie systeem van Android en IOS.
Media meesturen is niet standaard en de gebruiker schakelt dit zelf in.

Maar die nuance ontgaat je. Je zoekt een slachtoffer en Eufy is een makkelijk doelwit, al snap je niet waarom ze bepaalde keuzes hebben gemaakt. Je snapt niet dat de essentie van het probleem ook veel breder is en veel grotere implicaties heeft als je er binair naar kijkt. Die nuance gaat je volledig voorbij en dat probeer ik je duidelijk te maken. Mensen zoals jou er op te wijzen dat dingen niet binair zijn maar in praktijk best complex. Ik snap je frustratie dat je dat niet kan zien.

Maar ik begrijp ook dat je niet moet schoppen tegen een dood paard. Dus succes met je kruisvaart.

Klauwhamer @Verwijderd • 8 december 2022 11:12

Nee hoor, ik maak helemaal geen fout. Eerder schreef je zelf namelijk: "En ik zie hier nog geen grondig bewijs anders dan misleidende reclame." En dát is waar het om gaat: dark patterns. Eufy heeft dat onderkend en heeft er op geacteerd. Vertel nog eens wat precies aannames en fouten zijn..

Verwijderd @Klauwhamer • 8 december 2022 11:20

Vertel nog eens wat precies aannames en fouten zijn..
Het verdraaien van de discussie naar 'dark patterns', het niet begrijpen van technische beperkingen van techniek, de eenzijdige mening over zaken waar je duidelijk geen kennis van hebt, (blijkbaar) denken dat discussies uitlokken op het het internet met een random iemand enig verschil maakt in dit hele gebeuren.

En als kers op de taart, blijkbaar niet eens weten wat 'dark patterns' zijn.

Klauwhamer @Verwijderd • 8 december 2022 11:37

Er is hier maar één persoon die structureel over zaken begint die er helemaal niet toe doen: en dat ben jij. Hoezo "verdraaien naar"-- dit hele gezanik draait primair om een dark pattern for the love of God. De suggestie wordt gewekt dat Eufy alle data lokaal houdt en daarmee geimpliceerd dat geen data naar 'buiten' gaat. Dat blijkt niet zo te zijn: er komt data op een AWS-servertje te staan. Dat staat haaks op de gewekte suggestie: een dark pattern. Misleiding. Eufy denkt "Kak, inderdaad" en plaatst een melding in de app die hier op wijst. Daarnaast zijn er wat andere zaken die spelen waarover nog veel onduidelijk is.

Dit zijn dus twee aparte kwesties die parallel aan elkaar lopen. Ik snap dat dit verwarrend kan zijn, maar ze hebben toch écht niets met elkaar te maken. Je kunt blijven strooien met opmerkingen dat ik 'binair' ben of dingen allemaal niet snap, maar je zet vooral jezelf een beetje te kijk. Ook schijn je lekker te gaan op het hebben van het laatste woord dus be my guest, geniet er van. Ik ben wel klaar met de gebakken lucht die je hier neerplempt.

Verwijderd @Klauwhamer • 8 december 2022 11:51

A. het is geen dark pattern:
https://en.wikipedia.org/wiki/Dark_pattern
A dark pattern (also known as a "deceptive design pattern") is "a user interface that has been carefully crafted to trick users into doing things, such as buying overpriced insurance with their purchase or signing up for recurring bills".

B.
De suggestie wordt gewekt dat Eufy alle data lokaal houdt en daarmee geimpliceerd dat geen data naar 'buiten' gaat.
Er gaat ook standaard geen 'data naar buiten'. Dat gebeurd dus pas als de gebruiker die notificaties inclusief media inschakelt. Ik kan dat maar blijven herhalen maar het komt inderdaad niet aan..

C.
Ik ben wel klaar met de gebakken lucht die je hier neerplempt.
Idem. Een dwaas kan meer vragen stellen dan zeven wijze mannen kunnen beantwoorden

Cyb @Verwijderd • 6 december 2022 15:09

The hook-up heeft hier een goede opsomming van gemaakt: The Internet is WRONG about Eufy. (Mostly)

Ik heb het hier al vaker genoemd, en op het forum. Maar de video van The Hook Up bevat stellingen die niet kloppen.
Wat hij eigenlijk in die video zegt is dat Eufy geen ander alternatief heeft dan de privacy schendende oplossing die ze gekozen hebben. Wat incorrect is. De juiste oplossingen zijn het gebruik van punch holing en/of end-to-end encryption.

Patriot @Cyb • 6 december 2022 19:05

Wat hij eigenlijk in die video zegt is dat Eufy geen ander alternatief heeft dan de privacy schendende oplossing die ze gekozen hebben. Wat incorrect is. De juiste oplossingen zijn het gebruik van punch holing en/of end-to-end encryption.

Mja, het werkwoord 'kunnen' piept en kraakt bij dit onderwerp. Het is feitelijk juist als ze zeggen dat het specifieke soort notificatie dat hier wordt gebruikt eigenlijk alleen op deze manier is in te richten. Gewoon door de manier waarop het achter de schermen werkt is hole punching en end-to-end encryption bijvoorbeeld niet zonder meer toe te passen bij zulke notificaties.

Het probleem is dat de privacy-uitingen van Eufy kraakhelder zijn: Je data gaat je huis niet uit. Nou wil ik gerust accepteren dat een app op de mobiele telefoon in de huiselijke sfeer valt, maar zet er even een voetnootje bij dat het langs AWS moet voor die thumbnails?

Cyb @Patriot • 6 december 2022 19:13

Het is feitelijk juist als ze zeggen dat het specifieke soort notificatie dat hier wordt gebruikt eigenlijk alleen op deze manier is in te richten. Gewoon door de manier waarop het achter de schermen werkt is hole punching en end-to-end encryption bijvoorbeeld niet zonder meer toe te passen bij zulke notificaties.

Leg eens concreet uit waarom notificaties niet zouden kunnen bij hole punching of end-to-end encryptie, zonder dat beeldmateriaal bij de fabrikant terecht komt? Lees daarbij ook even https://gathering.tweaker...message/73671746#73671746 door, waarin ik beschrijf hoe het zou kunnen.

Patriot @Cyb • 6 december 2022 19:25

Dat is wat ik bedoel met het piepen en kraken van het werkwoord kunnen. Ja, het is in de breedste zin van het woord mogelijk om notificaties op die manier te faciliteren. Maar deze push-notificaties zijn een platformfunctionaliteit. Als je daar met hole punching en/of e2ee wil gaan werken dan is het in de praktijk heel erg lastig (lees: functioneel onmogelijk) voor Eufy om hetzelfde te doen als deze push-notification services.

Cyb @Patriot • 6 december 2022 19:30

Waarom zou je niet gewoon een tekstuele notificatie van Eufy kunnen laten binnenkomen, om vervolgens de Eufy app op de achtergrond deze te laten onderscheppen, om vervolgens het beeld materiaal direct op te halen van de camera via punch holing, om vervolgens een lokale notificatie+image weer te geven. Wat is hier onmogelijk aan?

[Reactie gewijzigd door Cyb op 22 juli 2024 22:05]

Patriot @Cyb • 6 december 2022 20:03

Als je app backgrounded is dan gaat de notificatie direct naar de tray en krijgt de app de data payload pas op het moment dat je de notificatie aantikt. Dat is een beetje mosterd na de maaltijd.

EDIT: Bijna instant edit; kan natuurlijk zijn dat dat niet meer zo is?
EDIT2: Ik praat over Android overigens. Met iOS minder ervaring

[Reactie gewijzigd door Patriot op 22 juli 2024 22:05]

Cyb @Patriot • 6 december 2022 20:12

Ook in een background app zou het moeten kunnen volgens https://android.stackexch...und-receive-notifications

Plain text notifications can be directly displayed without even starting the app it is targeting. Other push notifications are delivered to the app it belongs to (which is automatically started if it is not already running) and the app can then "translate" the push message into a notification (in case of Whatsapp this require e.g. decryption of the received message or even fetching additional data from Whatsapp servers).

Patriot @Cyb • 6 december 2022 20:28

Hmm, ja, ook als je kijkt naar deze reactie lijkt het erop dat het inderdaad mogelijk is. Als ik er zo over nadenk is dat ook logisch gezien er natuurlijk andere apps zijn die e2ee toepassen. Ik heb even kort gekeken naar de FCM-documentatie en daar is het me niet 1-2-3 heel duidelijk hoe dat dan moet worden geïmplementeerd, maar ik neig er naar om te geloven dat het wel moet kunnen en dat mijn (toegegeven, ook beperkte) kennis op dit vlak achterhaald is. In dat geval kan ik niet anders dan concluderen dat er geen geldig excuus is voor Eufy om het niet op zo'n manier aan te pakken.

FvdM @Verwijderd • 6 december 2022 19:06

Na 5 minuten googlen lijkt het erop dat e2ee notificaties prima mogelijk zijn op iOS. De client app op je telefoon wisselt dan een token uit met je lokale apparaat (bijv. Homebase). Dat apparaat versleutelt het bericht en de afbeelding met die token en stuurt dat pakket via de Eufy cloud naar Apple. Het pakketje komt binnen op je telefoon en gaat naar de notification extension van de client app. Die app ontsleutelt het pakket voor het aan de gebruiker wordt getoond. Op deze manier gaat de data feitelijk wel door alle clouds heen, maar alleen de ontvanger ziet de inhoud. Moet je er alleen nog op vertrouwen dat de token uitwisseling offline gaat en dus niet ook via de cloud...

https://developer.apple.c...-end_encrypted_voip_calls

If your app can send multiple types of end-to-end encrypted (E2EE) data—for example both text messages and voice over IP (VoIP) calls—send the encrypted content as a remote notification. Then, on the receiving device, use a notification service extension to decrypt the incoming content.

Ik ben geen app developer, maar het lijkt erop dat de informatie niet per se onbeveiligd in de cloud hoeft te staan. Waar een wil is is een weg?

Verwijderd @FvdM • 7 december 2022 13:40

Waar een wil is is een weg?
Helemaal mee eens hoor, maar in praktijk heb je natuurlijk simpelweg een budget en tijdrestricties.
Zeker met deze notificaties zou hier extra tijd aan gespendeerd moeten worden. Maar Eufy is (naar mijn mening) ook een low budget oplossing dus cutting corners is niet ongewoon.

De link je die quote is helaas van notificaties tijdens VOIP verbindingen. Apple VOIP verbinding zijn E2E dus dan wil je ook dat deze notificaties via de bestaande verbinding (kan) verlopen. Ter illustratie, vrijwel alle SIP/VOIP verbindingen verlopen niet versleuteld. Vrijwel alle telefoonverbindingen zijn dus via een simpele tap af te luisteren. Voys heeft enkel al over het bellen een heel verhaal geschreven:
https://www.voys.nl/blog/eerlijk-verhaal-versleuteld-bellen/
Offtopic, ja ik heb encryptie zelf moeten configureren op al mijn vaste toestelen maar ik besef mij heel goed dat 99% van de vaste toestellen geen encryptie hebben en nooit zullen krijgen door de aftap verplichting van de overheid.

De VOIP methode is helaas dus niet het normale notificatie verloop. Die staat hier vermeld (notificatie met media): https://developer.apple.c.../unnotificationattachment
For remote notifications, the system validates attachments after your notification service app extension finishes. Once validated, the system moves the attached files into the attachment data store so that the appropriate processes can access the files. The system copies attachments located inside an app’s bundle.
Het systeem valideert en download dus eerst deze bestanden voordat deze aan de applicatie of gebruiker gepresenteerd wordt (logisch, input validatie). Apple houdt vrij hoge bijlage grote's aan (10MB voor afbeeldingen / GiF) dus daar is geen probleem maar ik zie geen ondersteuning voor versleuteling of zelfs authenticatie opties.
The URL of the file you want to attach to the notification. The URL must be a file URL and the file must be readable by the current process.

Uiteindelijk heb je een goed punt, waar een wil is, is een weg. Maar ik zie die momenteel niet echt... Ik heb toevallig gewerkt met een applicatie (Blackberry UEM). Ons grootste probleem? Notificaties... Deze werden namelijk in-app afgehandeld en als de app niet draaide (op de achtergrond) dan werd de gebruiker pas genotificeerd als deze de app opende. De oplossing was eenvoudig, gebruik systeem notificaties. Maar dat mocht vanwege beveiliging niet.... De gebruikers vonden de oplossing totaal onwerkbaar en het project faalde daarmee ook.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:05]

FvdM @Verwijderd • 7 december 2022 15:35

Oké. Ik las die messages en voip zin als een voorbeeld dat alleen de notificatie zo gestuurd kan worden, zonder gelijk verdere (voip) verbindingen op te zetten. Als in dat de app bij ontvangst besluit hoe de gebruiker op hoogte gesteld moet worden.

Wat verder lezend in de materie zie ik toch wel mogelijkheden. De push notification kan naar de app worden gestuurd zonder dat deze hoeft te draaien. De notification extension van de app kan daarop (met beperkte tijd) bewerkingen doen, waaronder het decrypten van de payload. Vervolgens geeft die extension de inhoud terug aan het OS voor de notificatie banner.

Hier een voorbeeld van een cloud implementatie. Maar ik denk dat de versleuteling ook op het zendende apparaat kan plaatsvinden met een unieke preshared key die het apparaat en de client app met elkaar hebben afgesproken.

https://medium.com/engine...tions-on-ios-9a87d8765e1d

casd18 @Verwijderd • 7 december 2022 06:19

Die afbeeldingen staan daar niet versleuteld want de notificatie kan daar niet omgaan. Er wordt wel een complexe URL gebruikt die niet te raden is.

Ik heb zo geen link maar er is geprobeerd die URL's the bruteforcen en dat is gelukt. Dus hoewel het om complexe URL's gaat zijn ze wel degelijk te raden.

Klauwhamer @iCore • 6 december 2022 12:48

Dit is toch aardig wat méér dan een "storm in een glas water". Ineens is het toepassen van dark patterns niet meer de discussie als je 't mij vraagt: dit zou voor iedereen reden moeten zijn met een grote boog om Eufy heen te lopen.

i-chat @Klauwhamer • 6 december 2022 13:26

Afhankelijk van de hardware kan iemand misschien een firmware hack uitvoeren om een custom rom te installeren die wél gewoon veilig en conform de wet is

dit kan ook anker zelf zijn met een gpled firmware

anders zie ik maar één mogelijke uitkomsten

De rechtbank moet alle verkopen van deze apparaten met terugwerkende kracht tegen de wet verklaren waardoor iedereen geld terug krijgt en de verkoop wordt verboden

IThom @i-chat • 6 december 2022 22:43

Afhankelijk van de hardware kan iemand misschien een firmware hack uitvoeren om een custom rom te installeren die wél gewoon veilig en conform de wet is

dit kan ook anker zelf zijn met een gpled firmware

Misschien zonde van de hardware, maar ik heb mijn set toen ik het nieuws zag uit gebruik genomen. Ik vind het ethisch niet verantwoord deze door te verkopen en vertrouw tegelijkertijd Anker ook niet meer.
Waarom zou de backend situatie veranderd zijn als er een andere firmware uitgegeven wordt?

Heel misschien dat een volledige audit door een betrouwbaar onafhankelijk bedrijf mijn vertrouwen enigszins kan herstellen, maar zoals blijkt wordt er door de woordvoerders vanuit PR een heel mooi verhaal verkocht. Ik zie geen reden waarom ik nu het volgende wat ze zeggen wel te gaan geloven.

Verwijderd @Klauwhamer • 6 december 2022 17:52

Ik heb dit meer met m'n Apple iPhone. Wanneer we een discussie hebben over iemand die bijna aan kanker overlijdt krijg ik bij het terugkijken van de wedstrijd bra-sko opeens reclame van palliatieve zorg. En dat terwijl we het nog nooit eerder over dat onderwerp hebben gehad. Ik snap dat men het niet leuk vindt dat een chinees eventueel kan meekijken met de deurbel maar dat ik non-stop gemonitord wordt door m’n iPhone baart me meer zorgen. Dan is het ook nog eens zo dat ik mijn iPhone zo strikt mogelijk heb ingesteld qua privacy.

apella @Verwijderd • 6 december 2022 18:46

het feit dat je vriend daar waarschijnlijk wel al eens naar gezocht heeft, en het systeem achter de advertenties weet dat er een connectie is tussen jullie twee, is voldoende om dit resultaat te krijgen.

Het is echt niet nodig om mee te luisteren naar gesprekken of zo. Jij wordt niet gemonitord, er wordt gewoon een simpele connectie gemaakt tussen twee datapunten.

locke960 @apella • 6 december 2022 21:27

Uh... in jou scenario wordt hij niet afgeluisterd, maar hij wordt wel degelijk gemonitord.

kever678 @Verwijderd • 6 december 2022 22:13

Zelfde WiFi?

Verwijderd @kever678 • 11 december 2022 22:01

Nee, geen verbinding met de patiënt op welke manier dan ook. Nou ja, zelfde dorp. Maar zoals ik al aangaf de reclames die ik doorgaans krijg voorgeschoteld zijn echt wel te voorspellen. Ik durf per YouTube filmpje 100 euro te verwedden dat wanneer ik 5 reclames opnoem dat 1 van de 2 die ik voor schotelt krijg klopt. Maar dit was dus een uitzondering. Ik heb het ooit eerder gehad toen we het over de series luizenmoeder hadden en vervolgens krijg ik bij een YouTube filmpje een reclame over anti-luizen middel.

ytterx 6 december 2022 08:57

Wat een reactie... er is veel mis, maar dit vind ik ronduit gewoon liegen in je marketing en hier mag best een hoge boete voor worden gegeven.

Ik was een tijd geleden opzoek naar een deurbel camera en had eufy op het oog juist vanwege de geen cloud upload. Had nog niet de keuze gemaakt om daadwerkelijk tot koop over te gaan en dat gaan we mooi niet meer doen.

redniels @ytterx • 6 december 2022 09:33

ik heb hier een hele lange zure discussie over gevoerd op reddit die ik hier niet wil herhalen maar het komt er op neer dat dit altijd al in de EULA en andere documentatie stond en als men die had gelezen had men dit geweten.

En als je het product gebruikt kom je er binnen 2 seconden achter dat het no cloud verhaal absoluut niet over de app/interface gaat. Dat is zo klaar als een klontje.

voor mij is dit echt een storm in een glas water. Een youtuber trekt een salespitch uit zijn verband, leest de documentatie niet of negeert deze opzettelijk en iedereen is dan heel erg boos.

Het No Cloud verhaal van eufy gaat en ging gewoon enkel over opslag. Die staat bij jou lokaal, niet in de cloud. Ieder ander vergelijkbaar product heeft een abonnement voor een dergelijke dienst.

Alxndr

@redniels • 6 december 2022 11:26

"ik heb hier ... op reddit " je begint al goed.

En als een bedrijf in deze tijd, waarin privacy en datalekken aan de orde van de dag zijn, ook maar hint op 'alleen lokale' opslag dan is het gewoon pure misleiding als dat niet zo blijkt te zijn.

Je kunt alle privacy zaken wel storm in een glas water noemen, maar het is simpelweg niet aan jou om dat te zeggen, maar aan de direct betrokkenen wiens data/beelden ongevraagd en ongewenst gedeeld zijn of toegankelijk waren.

En als het nu alleen over een paar thumbnails ging, ok, maar je kon hier live meekijken. Dit is ongeveer zo ernstig als maar kan en ik hoop dat hier verdere (juridische) consequenties aan verbonden worden.

Jammer voor ze, maar ik reken dit Anker als moederbedrijf ook aan en ga op zoek naar een andere (betere) leverancier voor m'n kabels en opladers. Ik hoop dat velen dat ook zullen doen, want bedrijven hiermee weg laten komen betekend dat we het meer en meer zullen zien.

[Reactie gewijzigd door Alxndr op 22 juli 2024 22:05]

Patriot @Alxndr • 6 december 2022 12:52

"ik heb hier ... op reddit " je begint al goed.

Beetje kansloos om zo te beginnen, temeer omdat de 'hier' die je citeert slaat op het onderwerp. Zijn zin klopt gewoon.

Alxndr

@Patriot • 6 december 2022 14:22

Ik zie het, my bad. Ik las het alsof het dezelfde toon had als de rest van z'n reactie, open deuren intrappen en neerbuigend.

Klauwhamer @redniels • 6 december 2022 09:43

Opmerkelijk dat je op de bres springt voor Eufy. Men heeft dit serieus opgevoerd zijnde het unique selling point. Het verweer "Ja, maar EULA" of "Ja, gaat niet over de app/interface" kan je voeren, maar ik vind dat niet bijster sterk. Zeker niet als je nagaat dat dit niet het enige probleem met die dingen was/is op gebied van privacy en security met die Eufy-dingen. Bedrijven moeten klare wijn schenken. Als je verweer (of in dit geval kritieke specificatie) te vinden is in kilometers EULA, is dat een sterke indicator dat je er gewoon naast zit.

EnigmaNL @Klauwhamer • 6 december 2022 09:47

No cloud was niet het USP van Eufy, no subscription was het USP. Je kunt het nu nog steeds overal zien staan. No subscription for cloud service. Dat is niet hetzelfde als "helemaal geen cloud".

Zoals zo vaak gewoon weer een gebrek aan begrijpend lezen bij consumenten.

Froos

@EnigmaNL • 6 december 2022 10:56

Op hun website onder "Local Storage" staat "Local Security". Als jouw beelden EN jouw videostream onversteluteld naar het internet gaan, dan is dat wel degelijk misleiding. Van "Local Security" is dan geen sprake meer.

Verwijderd @Froos • 6 december 2022 14:06

Local Storage en Local security heeft toch helemaal niets te maken met dingen die niet-local zijn?
En volgens mij gaan vrijwel alle streaming video onversleuteld het internet op... Het zijn gewoon standaard ONVIF streams...

Ik verdedig Eufy hier niet maar ik snap ook helemaal niets van de verbazing in deze thread?

Nieuwsflits: vrijwel alle video streams zijn niet versleuteld!
Net als websites en afbeeldingen die je opvraagt op een HTTP site.
Je zou verwachten dat na al die VPN reclames overal dat mensen in ieder geval die hint nog oppakken...

Straks komt men er ook nog achter dat de meeste SIP verbindingen onversleuteld zijn...

Froos

@Verwijderd • 6 december 2022 14:32

Je mist 't punt, denk ik.

Het gaat er niet zo zeer om dat de data onversleuteld is. Het punt is vooral dat Eufy als stokpaardje hanteert dat je al je data lokaal in je eigen huis houdt EN dat je er geen abonnementje voor nodig hebt.

Dat laatste klopt ook maar dat eerste blijkt dus helemaal niet het geval te zijn. De data verlaat wel degelijk je huis. Daarbij blijkt ook nog eens je username of userID (ik weet niet welke van de 2) te worden gelogd met je foto. Daar zou je van alles uit kunnen afleiden. Dat is wel een stevige schending van je privacy.

Nog kwalijker vind ik persoonlijk dat wanneer je je gegevens verwijdert, je data gewoon blijft staan en benaderbaar blijft. En dus ook de stream van de camera kan openen. En dat terwijl de eigenaar/gebruiker helemaal geen toestemming heeft gegeven voor remote access.

Daar bovenop verlaat het je huis ook nog een keer onversleuteld. Je zou van een commerciele dienstverlener mogen verwachten dat wanneer ze product data naar hun servers op internet versturen, ze dat dan toch tenminste via een versleutelde tunnel doen of (en?) de data zelf ook netjes onleesbaar is voor anderen. Je hebt dus nooit toestemming gegeven dat jouw gegevens en jouw camera streams naar internet worden ontsloten, maar niets is minder waar. En dan ook nog eens voor iedereen (die een beetje moeite doet) leesbaar.

[Reactie gewijzigd door Froos op 22 juli 2024 22:05]

Verwijderd @Froos • 6 december 2022 15:42

Het gaat er niet zo zeer om dat de data onversleuteld is. Het punt is vooral dat Eufy als stokpaardje hanteert dat je al je data lokaal in je eigen huis houdt EN dat je er geen abonnementje voor nodig hebt.
En dat klopt toch? De beelden staan lokaal.. Ze zijn technisch correct.. Ik snap je punt wel maar ik vind dat dommigheid ook weer geen excuus is. Zoals gezegd, wat ze doen is niet akkoord en ik wil ze niet verdedigen maar met een beetje nuchterheid had iedereen dit toch al kunnen concluderen? Hoe moeten die notificaties en streams anders op je telefoon komen? De 'problemen' met onversleutelde notificaties geld in essentie voor iedere 'rijke notificatie'.

Daarbij blijkt ook nog eens je username of userID (ik weet niet welke van de 2) te worden gelogd met je foto. Daar zou je van alles uit kunnen afleiden. Dat is wel een stevige schending van je privacy.
Nee, want zo werkt privacy niet. Je gaat akkoord met de voorwaarden van de leverancier (zie EULA verhaal hier) en hoewel ze de beveiliging niet als prioriteit hebben is hier tot nu toe ook nog geen incident mee geweest. Dus zolang ze geen misbruik van deze gegevens maken is hier niets illegaals aan de hand. Er is hier ook dus helemaal geen schending van de privacy.

Nog kwalijker vind ik persoonlijk dat wanneer je je gegevens verwijdert, je data gewoon blijft staan en benaderbaar blijft. En dus ook de stream van de camera kan openen.
Dit is ook zo'n ding. Dit is heel normaal en noemt men een cache. In dit geval gebruikt men AWS cache om de notificatie snel zichtbaar te maken. Dat men klaagt dat deze cache niet direct na een uur verwijderd is, is ook best raar. Dit zijn gewoon technische beslissingen geweest. Als een notificatie verstuurd is, wil je dat deze na een uur al niet meer werkt? Nee, lijkt mij niet. Je wil die cache in ieder geval 12 uur behouden voor een goede gebruikerservaring... Misschien wel langer.... Ook niets ongewoon aan. Laten we ook even vooropstellen, iedere app die een afbeelding doorstuurt in een notificatie is heeft dit dilemma.

En dat terwijl de eigenaar/gebruiker helemaal geen toestemming heeft gegeven voor remote access.
Deze claim is nieuw en kan ik nergens terugvinden. Meestal log je in op een apparaat en krijg je eerst een EULA. Die accepteer je en daarmee geef je toestemming. Dat mensen die niet lezen is een ander verhaal.

Daar bovenop verlaat het je huis ook nog een keer onversleuteld. Je zou van een commerciele dienstverlener mogen verwachten dat wanneer ze product data naar hun servers op internet versturen, ze dat dan toch tenminste via een versleutelde tunnel doen of (en?) de data zelf ook netjes onleesbaar is voor anderen.
Versleuteling is alles behalve standaard. Versleuteling vereist veel hogere resources aan de kant van zowel de verzender en ontvanger. Zeker als snelheid een belangrijk punt is, kiest men er wel vaker voor om het onversleuteld te doen. Had Eufy alles moeten versleutelen terwijl dat technisch niet kan zoals met de notificaties? Ja, misschien. Had iedereen lopen klagen dat de Eufy app alleen op recente Android versies werkt vanwege versleuteling vereisten? Ja, waarschijnlijk. Hadden mensen geklaagd dat de telefoon batterij vreet als men de app open heeft staan? Ja, waarschijnlijk. Was de prijs van de oplossing veel hoger geweest omdat hun serverpark drie keer zo groot is? Ja, waarschijnlijk.

Hadden we deze discussie gehad als ze een trage dure en gebruikersonvriendelijke oplossing aanboden? Nee, waarschijnlijk niet gezien niemand dat dan zou kopen.....

Dit zijn allemaal complexe beslissingen met hun eigen voor en nadelen. Ja, Eufy heeft hier verkeerde beslissingen gemaakt maar het lijkt mij dat dit voornamelijk is gedaan om gebruikersvriendelijkheid voorop te stellen. Ik zie nog niet dat men malafide bezig is geweest. Anders dan claims maken die niet kloppen....

En tja, claims die niet kloppen.... Ik zie iedere dag op het journaal politici de grootste claims maken die niet kloppen en waar echt mensenleed mee gemoeid is. Daar hoor ik niemand over en zeker niet de ophef die men hier maakt over een low-budget camera oplossing...

Froos

@Verwijderd • 6 december 2022 17:25

Volgens mij zijn we 't (weer eens?) wel eens, maar gaat 't om de invulling.

Technisch gezien zal alles wat je aanvoert volledig verdedigbaar zijn. Wettelijk gezien echter is dat een ander vaatje. M.b.t. privacy, een foto van jou met je naam erbij valt, voor zover ik weet, onder persoonlijke identificeerbare informatie of PII. Zie ook hier voor de definitie. Als 'hoeder' (in dit geval Eufy) dien je daar als zodanig mee om te gaan. Zodra je je diensten binnen de EU aanbiedt, hang je onder de GDPR (in het Nederlands AVG). En de AVG is best duidelijk over hoe je PII dient te beschermen.

Het zelfde geldt voor het verwijderen van informatie. Zodra jij als hoeder van de gegevens geen praktische reden meer hebt om die te bewaren (en commerciele doelen gelden hier niet) dan behoor je die te verwijderen. Dat er technische redenen (caches etc) zijn die daar wat roet in het eten gooien, is dan eigenlijk geen argument. Hoogstens uitstel van executie.

Dan een stukje "Service Verwachting". Eufy wekt de indruk met "Local Security" en "Local Storage" dat jouw gegevens bij jou blijven. Local Security insinueert dat IK bepaal wie er bij mijn gegevens kan. Als die gegevens vervolgens (semi-) vrij toegankelijk op een server elders staan zonder dat ik als eigenaar van die gegevens dat kan beinvloeden, laat staan wie er daarna nog meer toegang toe heeft, dan is er geen sprake meer van "Local Security". Ik geef een gebruiker die hiermee naar een rechter gaat, zeer goede kansen dat deze gelijk krijgt en Eufy aan 't kortste eind trekt, te meer omdat Eufy zich niet als goede hoeder van haar gebruikersdata heeft opgesteld zoals de AVG dat vereist.

Het verschil met een politicus die iets belooft en niet doet en een bedrijf waar ik iets koop is dat ik met die politicus geen contract heb waar ik 'm aan kan houden. Ik zou willen dat we dat hadden,

Met een bedrijf heb ik dat wel, namelijk een koopcontract of een service overeenkomst. Daar kan Eufy me een EULA voorschotelen van 10.000 A4tjes, als dat voor mij niet te begrijpen valt zonder dat ik een rechtenstudie gedaan heb, zal iedere rechter zo'n EULA van tafel vegen.

Ik denk dat het laatste woord hier nog niet over geschreven is. Een handige advocaat en een slimme gebruiker met een handje vol geld om er tegenaan te gooien maken een goeie kans met een schadeclaim.

[Reactie gewijzigd door Froos op 22 juli 2024 22:05]

Verwijderd @Froos • 7 december 2022 10:49

Volgens mij zijn we 't (weer eens?) wel eens, maar gaat 't om de invulling.
Klopt inderdaad, sommige argumenten tegen zijn discutabel (zouden technische beperkingen kunnen zijn) of momenteel onduidelijk (is er nu wel of niet een wachtwoord nodig voor de videostream). Dezelfde technieken worden gebruikt in vrijwel iedere oplossing (zoals push notificaties afbeeldingen). Sommige argumenten zijn echter niet discutabel zoals het niet duidelijk vermelden dat afbeeldingen (van mogelijk personen) gecached worden op internet.

Daarnaast wordt Eufy hier op de brandstapel gegooid maar ik hoop dat die dan ook groot genoeg is voor Google (Nest), Amazon (Ring) en de rest want die maken zich (waarschijnlijk) ook schuldig aan veel van deze punten gezien ze allemaal dezelfde functionaliteit bieden.

Als 'hoeder' (in dit geval Eufy) dien je daar als zodanig mee om te gaan.
Klopt helemaal maar doen ze dat niet? Ja, deze afbeeldingen zijn onversleuteld (technische vereiste) maar de URL/locatie waar ze staan is niet zomaar te raden, te scannen of te gokken (ondanks beweringen nog geen bewijs gezien). In een rechtszaal kunnen ze echt wel laten zien dat ze hier veel moeite in hebben gestopt. Het is dus best onduidelijk wat het oordeel van de rechter daar in is.

Zodra je je diensten binnen de EU aanbiedt, hang je onder de GDPR (in het Nederlands AVG). En de AVG is best duidelijk over hoe je PII dient te beschermen.
Haha, ik werk wel vaker met gevoelige gegevens en ja, men moet die gegevens heel goed beschermen maar erg duidelijk over hoe, is de wetgeving helaas niet. Wetgeving is altijd redelijk duidelijk over wat beschermt moet worden maar is bewust vaag over hoe, zodat het breder toepasbaar is. Tevens draait de AWS cache in jouw regio (dat is juist de bedoeling van een cache) dus dat wordt wel binnen de EU afgehandeld. Men zou zelfs kunnen argumenteren dat men dit doet om binnen de wettelijke kaders van AVG te blijven.

Het zelfde geldt voor het verwijderen van informatie. Zodra jij als hoeder van de gegevens geen praktische reden meer hebt om die te bewaren (en commerciele doelen gelden hier niet) dan behoor je die te verwijderen. Dat er technische redenen (caches etc) zijn die daar wat roet in het eten gooien, is dan eigenlijk geen argument. Hoogstens uitstel van executie.
Dit klopt zeker maar het enige wat hier is vastgesteld is dat het na een uur nog niet verwijderd was. De wet is ook duidelijk dat dit op 'redelijke termijn' moet gebeuren en met een cache lijkt mij dat automatisch geregeld (verloopt automatisch). Er staat nergens dat dit binnen een uur moet gebeuren en er zijn ook geen regels die maximale doorlooptijden specificeren. Er wordt dus een boel herrie gemaakt maar niemand weet momenteel of die afbeeldingen er nu nog staan. Ik ga alleen uit van niet, anders hadden we dat al wel gehoord.

Dan een stukje "Service Verwachting". Eufy wekt de indruk met "Local Security" en "Local Storage" dat jouw gegevens bij jou blijven.
Eens hoor maar ook wel met een mogelijk sterretje. Ik heb dit apparaat zelf niet in bezit maar meestal (aanname) werkt dit niet zomaar 'buitenshuis'. Notificaties moet je inschakelen en vereist configuratie.
Daarbij zie ik in de handleiding dat je expliciet moet kiezen voor afbeeldingen in de notificatie. Standaard wordt er enkel een tekst verstuurd. De eindgebruiker moet dit dus expliciet zelf aanzetten (zie ook afbeelding in dit artikel). Nu zou je moeten kunnen verwachten dat dit veilig gebeurd maar dat punt is dus weer discutabel.
Kort door de bocht, als jij niet die dingen aanzet (die standaard uit staan) dan is er niets aan de hand en heb je "Local Security" en "Local Storage"?

Ik geef een gebruiker die hiermee naar een rechter gaat, zeer goede kansen dat deze gelijk krijgt en Eufy aan 't kortste eind trekt,
Ik geef het 50/50. De rechter kan ook zeggen dat de gebruiker zelf deze optie heeft ingeschakeld en daar de mogelijke gevolgen van in het kunnen zien. Je schakelt immers zelf in dat je een afbeelding bij de notificatie wilt. Ik ben echter geen advocaat maar misschien doet 'legal eagle' hier wel een aflevering over.

als dat voor mij niet te begrijpen valt zonder dat ik een rechtenstudie gedaan heb, zal iedere rechter zo'n EULA van tafel vegen.
Nou, zo werkt het echt niet. Zolang het onredelijk is, is het net zo rechtsgeldig als je huurcontract.
Ik zeg niet dat het in orde is maar het is weer zo'n puntje van twijfel...

Ik denk dat het laatste woord hier nog niet over geschreven is.
Absoluut en ik heb de popcorn al klaar staan. Dit soort zaken zijn erg interessant maar ik irriteer mij enkel over de schuldig tot onschuld bewezen is. Zo werkt ons rechtssysteem niet en ik vind het jammer dat de meeste mensen hier anders denken. Doet mij denken aan de middeleeuwen en ik had gehoopt dat wij als samenleving tegenwoordig toch beter zouden weten. Iedereen heeft recht op een eerlijke kans/verdediging (daar vallen ook organisaties onder), onschuldig tot schuldig bewezen.

Klauwhamer @EnigmaNL • 6 december 2022 09:48

Nee, hoor. Dit is gewoon misleiding.

EnigmaNL @Klauwhamer • 6 december 2022 09:53

Nee, gewoon een gebrek aan leesvaardigheid.

Je hebt geen abonnement nodig, dat is alles. Eufy heeft nooit gezegd dat er helemaal niets in de cloud wordt opgeslagen. Mensen die dat wel dachten moeten gewoon een paar weekjes basisschool overdoen.

Dit is wat ze zeiden (en nog steeds zeggen):

No Monthly Fee: Designed to protect your home as well as your wallet, eufy Security products are one-time purchases that combine security with convenience. All your data is stored locally meaning you will never have to pay for cloud storage.

Klauwhamer @EnigmaNL • 6 december 2022 09:55

Dat deze discussie speelt inclusief de reactie van het bedrijf, illustreert dat het geen gebrek is aan leesvaardigheid maar een gebrek aan communicatie vanuit Eufy.

Wat je citeert, is precies het probleem: "All your data is stored locally meaning you will never have to pay for cloud storage." Als jij het fair vindt dat "all your data is stored locally" toch niet het geval hoeft te zijn omdat cloud storage (het tegenovergestelde van local storage) in dit geval gratis is, zijn we snel uitgepraat. Ik vind het verbijsterend dat dit je take is.

Paul @Klauwhamer • 6 december 2022 10:17

Een thumbnail is een thumbnail van een bronbestand. Dat bronbestand staat nog altijd bij jou lokaal, en die thumbnail is zo opnieuw te genereren. Tevens vragen ze geen geld voor die cloud storage.

Ik zie niet in hoe dat tegenstrijdig is aan "je data staat lokaal" en "je betaalt niet voor cloud storage"?

Je kunt aanvoeren dat consumenten bij "je data staat lokaal" voor zichzelf invullen dat deze ALLEEN MAAR lokaal staat. Hoewel ik dat geen vreemde redenatie vind is dat niet wat er staat.

Klauwhamer @Paul • 6 december 2022 10:25

Een thumbnail is een verkleinde kopie van de bron. Een thumbnail bevat data. Data, die volgens de affiche lokaal opgeslagen zou zijn. De slogan was "all your data is stored locally". Nou, niet dus. Er is een (beperkte) kopie gemaakt in een gratis cloud. En dus is niet "all my data stored locally": er staat een surrogaatje op een dubieuze AWS-server Joost-mag-weten-waar. Daar komt bij: securitywise is Eufy ook nalatig. Het is maar de vraag of dat materiaal fatsoenlijk beveiligd is.

Paul @Klauwhamer • 6 december 2022 10:36

Zolang die thumbnail ook lokaal staat (en dan ben je al met mieren aan het copuleren, aangezien die thumbnail gewoon opnieuw te genereren is) staat AL je data lokaal.

Een digitale kopie verschilt niet van het origineel. Er zit geen verschil in de thumbnail lokaal en de thumbnail in de cloud. Dat is dezelfde data. Die dus (ook) lokaal staat. Er is geen unieke data die niet lokaal staat.

Klauwhamer @Paul • 6 december 2022 10:42

De implicatie is: géén data in de cloud (immers: "all your data is stored locally". Dát is wat gesuggereerd werd. Vervolgens staat je data lokaal, maar is er op één of andere manier een surrogaat tóch in de cloud terecht gekomen. Dus staat niet al mijn data lokaal, maar OOK in een (onbekende) cloud-omgeving. Dat daar wel of geen betaalde subscriptie bij komt kijken doet er niet zozeer toe.

Het is verbijsterend hoe dit simpele concept bij sommigen niet landt: dit is een dark pattern. Niemand hoeft er voor op de brandstapel verder, Eufy heeft het onderkent én er op geacteerd, it's a done deal. Maar het legertje mensen dat begint te trommelen over 'n00bs die niet kunnen lezen' is echt stuitend. Ik vraag mij af wat die mensen nog meer willen verdedigen. Het pleit niet voor ze.

Paul @Klauwhamer • 6 december 2022 10:48

Het is verbijsterend hoe dit simpele concept bij sommigen niet landt.

Het is inderdaad verbijsterend dat sommige mensen een simpel concept niet snappen, maar het is niet het concept dat jij denkt

Mensen overtuigen dingen te kopen zonder daarbij te liegen is precies waarvoor je een sales-afdeling hebt. Wat er geïmpliceerd wordt is niet belangrijk, wat ze daadwerkelijk zeggen, DAT is belangrijk.

Vind ik het een goed idee deze onduidelijkheid te verduidelijken? Absoluut. Hebben ze gelogen? Mijns inziens absoluut niet.

Klauwhamer @Paul • 6 december 2022 10:52

Ik heb ook nooit gezegd dat Eufy gelogen heeft. Dit lijkt triviaal maar is het niet. Dark patterns zijn namelijk niet gelijk aan liegen per se. Dark patterns moeten vermeden worden en dit is er één: daar zijn we het gewoon over eens. Het is een onnodige onduidelijkheid (getuige deze discussie, getuige de reactie van Eufy) en daar is maar één partij debet aan: Eufy. C'est tout.

ochhanz @Klauwhamer • 6 december 2022 11:24

Ik snap zelf ook niet helemaal waarom mensen hier de dark patterns / misleiding proberen goed te praten (zie ook reactie van Froos: EnigmaNL in 'Eufy voegt melding over cloudopslag camerathumbnails toe aan app na kritiek' ), ja we begrijpen hier ook wel dat de zin slim juridisch is geformuleerd maar het merendeel van de consumenten zijn geen juristen of hebben i.t.t. bedrijven geen juristen in dienst, er bestaat niet voor niks iets als consumenten bescherming. Dit is typisch zo'n zinnetje waar de gemiddelde consument overheen leest en Eufy wist dat ongetwijfeld.

MrVulcan @Paul • 6 december 2022 10:42

Precies dit. Eufy zegt ook all your data is stored locally en niet all your data is stored only locally. Of stellen ze dat ergens anders wel?

EnigmaNL @Klauwhamer • 6 december 2022 10:01

Die zin zegt het al, alle data is lokaal opgeslagen waardoor je nooit hoeft te betalen voor cloudopslag. Oftewel het punt van die zin is dat je geen abonnement nodig hebt. DAT is het USP. Dat is ook waarom 99% van de mensen deze deurbellen kochten, omdat ze geen abonnementskosten wilden betalen. Het grootste gedeelte van de consumenten zal het totaal aan hun reet roesten wat er met hun data gebeurd, dat is waarom ze ook rondlopen met Apple en Android telefoons en watches en smart speakers hebben en wat dan ook.

Daarnaast is het ook gewoon een feit dat alle data lokaal is opgeslagen, de data die behandeld wordt via cloud servers blijft daar namelijk niet staan. Dataverwerking is geen opslag.

Klauwhamer @EnigmaNL • 6 december 2022 10:05

Ehm.. "all your data is stored locally". Niet, dus. Prima dat jij dit niet herkent als een dark pattern c.q. misleiding. Het is leuker om af te geven op domme n00bs die niet kunnen lezen, etcetera. Ik ben het daar fundamenteel mee oneens en we gaan elkaar niet overtuigen. Gelukkig is daar Eufy die wél het probleem onderkent en er op reageert.

EnigmaNL @Klauwhamer • 6 december 2022 10:07

Als je zinnen in stukjes gaat knippen kun je er natuurlijk van maken wat je wilt. Je moet de zin in zijn geheel nemen om de betekenis eruit te kunnen halen.

Tintel

Privacy

@EnigmaNL • 6 december 2022 10:16

Nee, heeft niets met knippen te maken. Uitgangspunt is dat alle data lokaal staat. Dat dan ook betekent dat niet voor cloud storage betaalt hoeft te worden is toch een gevolg?

EnigmaNL @Tintel • 6 december 2022 10:19

Het uitgangspunt van die zin en de alinea is dat er geen abonnement nodig is omdat de data lokaal is opgeslagen. Daar is geen woord aan gelogen.

Ja er worden thumbnails verzonden via cloud servers (wanneer je die optie aanzet) maar daar worden ze niet opgeslagen, slechts tijdelijk gecached. Dit is een belangrijk onderscheid (een onderscheid dat de GDPR ook maakt bijvoorbeeld).

Tintel

Privacy

@EnigmaNL • 6 december 2022 10:25

Nogmaals de zin bevat de tekst "alle data is lokaal opgeslagen" een thumbnail (en meer las ik) opslaan op een server is niet lokaal. Ook al noemen we dat cache...sinds wanneer is cache geen opslag? Het mag dan wel tijdelijk zijn maar gezien de tijdelijkheid relatief is zegt dat weinig.
Het effect is niet alleen dat er dus data elders nodig is, het probleem is ook als dus die servers niet meer functioneren, bepaalde functionaliteit uitvalt.

De zin bevat dus 2 stellingen - alle data is lokaal en je hoeft niet te betalen voor cloud-opslag. Alleen de laatste stelling is dus waar.

EnigmaNL @Tintel • 6 december 2022 10:27

Cache is nooit opslag geweest.

Tintel

Privacy

@EnigmaNL • 6 december 2022 11:09

eh? Als die cache op de server staat dan is deze daar toch opgeslagen? Cache is tijdelijke opslag...
Aangezien het aantal berichten nogal groot kan zijn is het heel aannemelijk dat deze cache dan ook op disc staat.

EnigmaNL @Tintel • 6 december 2022 12:11

Het verschil tussen opslag en cache is dat cache tijdelijke kopieën van data bevat die ergens anders opgeslagen zijn om de verwerking te versnellen. Een cache is dus geen dataopslag maar heeft meer weg van werkgeheugen. Na verwerking van de bestanden worden ze weer uit de cache verwijderd.

Met opslag (storage) bedoeld men lange termijn opslag, waar de bestanden staan om bewaard te worden.

Cache is niet als opslag te gebruiken.

Tintel

Privacy

@EnigmaNL • 6 december 2022 13:40

De tijdelijkheid van cache is toch juist het probleem dan? Het is tijdelijk opgeslagen op een server - een niet lokaal systeem. En derhalve is het daar te benaderen.
Cache kan ook alleen in het werkgeheugen bestaan. Maar stellen dat cache meer weg heeft van werkgeheugen is pertinent onjuist. Cache is een concept wat tijdelijke opslag impliceert. Werkgeheugen is een fysiek onderdeel van een computer. Om de verwarring compleet te maken hebben CPU's wel cache-geheugen. Wat dus een benaming is voor een fysiek onderdeel. Alleen dat onderdeel is dus een soort RAM en wordt enkel gebruikt als cache.

En zodra die cache dus op een ander systeem aanwezig is (en cache is dus een kopie of afgeleide van een de bron-data) spreken we van niet-lokaal data-opslag. En doordat het cache is zal het langer bestaan dan dat bijv. een data-transfer loopt. En dat maakt dus uit.

Cache is niet als opslag te gebruiken.

Cache is prima te gebruiken als opslag. Als die cached data op disc staat kun je die benaderen met een ander process. Als die cached data enkel in het werkgeheugen bestaat is dat wat moeilijker maar ook dan is het te doen. En omdat dit kan, kun je als data-eigenaar [want je bezit de camera en diens data] daar niets tegen doen. Want die server is niet van jou.

xSNAKEX @Tintel • 6 december 2022 14:12

In die zin breken ze hun belofte al zodra de thumbnail op je telefoon te zien is. Al is hij alleen maar in het geheugen geladen.

Klauwhamer @EnigmaNL • 6 december 2022 10:08

"All your data is stored locally, meaning you will never have to pay for cloud storage."

Same difference, really.

EnigmaNL @Klauwhamer • 6 december 2022 10:09

Enorm verschil. Het gaat erom dat je geen subscription nodig hebt.

Zal ik ook ff knippen dan?

"you will never have to pay for cloud storage"

Klauwhamer @EnigmaNL • 6 december 2022 10:11

Ik moet smakelijk lachen om hoe makkelijk je over "all your data is stored locally" heen springt. Whatever floats your boat, champ.

M3m30 @EnigmaNL • 6 december 2022 10:20

Volgens mij werk jij voor dat bedrijf of zit ik goed of goed? Want het blijft wettelijk en juridisch misleiding. Je moet A zeggen en B doen.

Greybeard @EnigmaNL • 6 december 2022 13:27

Nee, jij hebt geaccepteerd dat je genaaid wordt en of dat iedereen de zelfde kennis heeft en dat projecteer je op de rest.

"Thats why we offer free local storage so you dont have to worry about cloud storage data leaks, or subscrion fees. Safe in your hands "

Neem een voorbeeld aan Ubiquti die gebruiken de term: Hybrid Cloud, al een stuk duidelijker niet? Je mag blij zijn dat mensen verontwaardigd raken zodat er normen en waarden zijn waar binnen bedrijven opereren.

Ook is het geen vreemde gedachte dat de push meldingen gewoon vanuit eigen hardware wordt geleverd.

EnigmaNL @Greybeard • 6 december 2022 13:44

Ik word helemaal niet genaaid want ik wist al hoe dit werkte omdat dit letterlijk de enige manier is om thumbnails te versturen via een notificatie...

Ook is het geen vreemde gedachte dat de push meldingen gewoon vanuit eigen hardware wordt geleverd.

Dat is het wel als je vervolgens ook wilt dat ze op je telefoon belanden...

comecme @Greybeard • 6 december 2022 17:14

Neem een voorbeeld aan Ubiquti die gebruiken de term: Hybrid Cloud, al een stuk duidelijker niet?

Nee. Ik vind niet dat "hybrid cloud" duidelijk is. Wat is dat dan?

Patriot @EnigmaNL • 6 december 2022 12:46

Ik vind dit wel een erg beperkte lezing van de (marketing)uitingen van Eufy. Hun privacy commitment heeft twee belangrijke uitspraken over hoe ze omgaan met de beelden die de camera's van Eufy opnemen:

Whether it’s your newborn crying for mom, or your victory dance after a game,your recorded footage will be kept private. Stored locally. With military-grade encryption. And transmitted to you, and only you.

Home is where your data belongs. With secure local storage, your private data never leaves the safety of your home, and is accessible by you alone.

(nadruk toegevoegd)

Dat gaat een stuk verder dan de "alleen langetermijnopslag lokaal"-interpretatie die jij erop nahoudt. Het is niet gek dat een gebruiker op basis van dergelijke uitingen verwacht dat de beelden niet naar de cloud gaan en je kunt hem daarom zeker geen gebrek aan leesvaardigheid toedichten.

xSNAKEX @Patriot • 6 december 2022 14:08

Wanneer je een camera thuis installeert en je kan daarna via een app en jouw account vanaf overal notificaties e.d. ontvangen van je camera dan zal dit toch echt via een externe centrale server moeten gaan. Je hebt er ook zelf voor gekozen de thumbnail te willen ontvangen toch?

Patriot @xSNAKEX • 6 december 2022 14:53

Of en hoe de beelden voor een notificatie naar een centrale server moeten is een implementatiedetail en geen voldongen feit. Als het voor Eufy bij het door hun gebruikte platform noodzakelijk is voor zulke notificaties dan past dat gewoon niet bij hun uitingen en hadden ze die (iets) moeten aanpassen. Ze hadden bijvoorbeeld een voetnoot toe kunnen voegen of het in de FAQ (op dezelfde pagina waar ik net naar heb gelinkt) kunnen opnemen.

xSNAKEX @Patriot • 8 december 2022 08:57

Als dat geen voldongen feit is volgens jou dan hoor ik graag hoe je dit netwerktechnisch klaar zou willen spelen.
Mijn punt is dat dit alles behalve ongewoon is en dat erg veel gemakkelijke netwerkdiensten en apps zo werken. Wat mij betreft is er dan ook niets mis mee.

Verwijderd @EnigmaNL • 6 december 2022 14:20

Nee, gewoon een gebrek aan leesvaardigheid.
Het punt is dat jullie allebeide gelijk hebben...
Domme mensen lezen niet en denken geen moment na of een claim wel klopt (of zelfs kan kloppen). En in een rechtszaal zal dommigheid geen excuus zijn:
Nemo censetur ignorare legem (Ignorantia juris non excusat)
In law, ignorantia juris non excusat (Latin for "ignorance of the law excuses not"),[1] or ignorantia legis neminem excusat ("ignorance of law excuses no one"),[2] is a legal principle holding that a person who is unaware of a law may not escape liability for violating that law merely by being unaware of its content.

Dit geld voor wetgeving maar er zijn legio voorbeelden. Als je een gestolen goed koopt voor een belachelijk lage prijs dan is en blijft dat heling..

Dat gezegd, als een verkoper zijn claims niet duidelijk markeert (het bekende sterretje*) als er uitzonderingen zijn dan kan er misleiding geconcludeerd worden. Het is een heel complexe zaak waar naar mijn mening niet veel uit zal komen.

Ik zie het nu al voor mij....

Aanklager:
Ja, meneer de rechter. Eufy zegt dat het allemaal lokaal werkt en dat is niet zo... Want de notificatie op mijn telefoon..
Rechter:
De notificatie op uw telefoon die via internet en Google wordt afgeleverd?
Aanklager:
Ja, die. Die is niet lokaal.....
Rechter:
En die notificatie heeft u zelf ingeschakeld?
Tja.... wat moet ik hier nu weer mee.....

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:05]

Klauwhamer @Verwijderd • 6 december 2022 15:19

Maar zo complex is het dus niet: Eufy heeft bakzeil gehaald en een notificatie bij de app geplaatst met tekst en uitleg. Dus in jouw voorbeeld:

Aanklager:
Ja, mijnheer de rechter, Eufy stelde dat alles lokaal werkte en dat bleek niet zo. Want de notificaties maken gebruik van een thumbnail geplaatst op een cloud omgeving van Eufy. Later heeft Eufy dit expliciet wél gemeld in de applicatie, maar toen had ik mijn aankoop al gedaan en is veel data van mij ongewenst op cloudservers terecht gekomen van Eufy.

EnigmaNL @Klauwhamer • 6 december 2022 15:25

Het stond ook gewoon al in de voorwaarden van Eufy dus de rechter zal je daar gewoon op wijzen.

Rechter: Dus u gebruikt zomaar een product zonder uit te zoeken wat er met uw gegevens gebeurd en zonder de voorwaarden te lezen? Dan hecht u sowieso al niet zoveel waarde aan wat er met uw data gebeurd. Als u privacy echt zo belangrijk had gevonden had u zich wat meer in de stof moeten verdiepen.

Klauwhamer @EnigmaNL • 6 december 2022 15:28

Zeg, jij hebt zeker aandelen? Of last van Stockholm-syndroom na een flinke investering voor vrienden en familie, waardoor je dit riedeltje steeds moet afspelen?

EnigmaNL @Klauwhamer • 6 december 2022 15:43

Beide niet. Ik vind het gewoon grappig hoe zeer mensen om privacy schreeuwen en zich tegelijkertijd zo dom opstellen.

Klauwhamer @EnigmaNL • 6 december 2022 15:52

Ik vind het vooral schokkend hoe makkelijk mensen voorbij gaan aan consumentenbescherming en (al dan niet onbewust) gebruik maken dark patterns. Dat is een verantwoordelijkheid vanuit de aanbieder van produkten en diensten. Dát is wat hier ter discussie staat. Er is hier maar één partij die zich dom opstelt en dat is degene die mekkert "had je de kleine lettertjes maar moeten lezen".

EnigmaNL @Klauwhamer • 6 december 2022 16:09

Ik ben helemaal voor consumentenbescherming maar ik word er een beetje moe van dat de consument in discussies zoals deze als onwetende en domme makke lammetjes gezien worden. Mensen die waarde hechten aan hun privacy dienen daar zorgvuldig mee om te gaan en dus zelf ook informatie in te winnen. Hoe een bedrijf met jouw gegevens omgaat is voor een privacy-minded persoon prioriteit 1 zou je zeggen.

Daarnaast zijn veel mensen ook ontzettend hypocriet, de mensen die het hardste "muh privacy!" schreeuwen hebben ondertussen ook gewoon altijd een smartphone op zak, facebook, twitter, smart speakers, smart koelkast, smart sleutelhangers etc...

Had Eufy het beter kunnen doen? Jazeker. Hebben ze gelogen? Nee. Consumenten moeten gewoon even verder kijken dan hun neus lang is, dat is altijd een vereiste. Wellicht dat Eufy en andere bedrijven hun informatievoorziening naar groep 3 niveau moeten brengen...

orvintax @redniels • 6 december 2022 09:40

ik heb hier een hele lange zure discussie over gevoerd op reddit die ik hier niet wil herhalen maar het komt er op neer dat dit altijd al in de EULA en andere documentatie stond en als men die had gelezen had men dit geweten.

Buiten dit, wat ik persoonlijk nog altijd misleidende marketing vind. Gaat het ook over de unencrypted en unauthorized streams die iedereen gewoon met VLC kan bekijken.

izzet3838 @orvintax • 6 december 2022 09:52

[...]

Buiten dit, wat ik persoonlijk nog altijd misleidende marketing vind. Gaat het ook over de unencrypted en unauthorized streams die iedereen gewoon met VLC kan bekijken.

Het is niet zo simpel als de media doet uitzien, je hebt daarvoor wel credentials nodig van de gebruiker, het is niet zo dat je als je iemands mail adres hebt je eventjes zen camera's kunt bekijken.

EnigmaNL @izzet3838 • 6 december 2022 10:04

Credentials zijn niet nodig, de stream is onversleuteld. Het lastigste is het vinden van de URL van de stream, die bestaat onder andere uit het serienummer van de camera in base64 en een unix timestamp.

t4600c @EnigmaNL • 6 december 2022 10:17

De stream zou moeten opvallen in een netwerk verkeer sniffer?

EnigmaNL @t4600c • 6 december 2022 10:20

Klopt. In dat opzicht dus totaal niet anders dan IP camera's van veel andere merken.

orvintax @EnigmaNL • 6 december 2022 13:42

Maar dat blijkt ook niet lastig te zijn:

Wasabi also noted that the way the remote URLs are configured, there are only 65,535 combinations to try, “which a computer can run through pretty quick.” Original story follows.

Link naar artikel.

Creadion @EnigmaNL • 6 december 2022 10:29

Maar dan alleen binnen het thuisnetwerk?

EnigmaNL @Creadion • 6 december 2022 10:29

Dat weet ik niet zeker, ik lees tegenstrijdige berichten.

redniels @orvintax • 6 december 2022 18:00

je bent al beantwoord maar zal ik dan toch maar iets uit die zure discussie herhalen:

Ok, als het zo open en bloot is, laat me mijn streams maar zien!

zo goed als onmogelijk. Jij moet door zoveel brandende hoepels heen voordat je iets zou kunnen openen dat de kans dat je 3x door de bliksem wordt geraakt hoger is. veel hoger.

Het zijn non issues.

orvintax @redniels • 6 december 2022 21:59

Dat blijkt toch anders te liggen, ik refereer even naar een andere comment van mij: link

Desondanks of het moeilijk is of niet lijkt me hier niet eens het primaire probleem. Eufy heeft in het gros van hun marketingmateriaal gewoon glashard lopen liegen. Dat het ergens in een EULA of privacy policy verstopt staat doet er niet toe. Zowel naar mijn mening als juridisch gezien.

Zebby @redniels • 6 december 2022 09:45

Je kan niet in je marketing keihard en constant A roepen, en dan in je EULA B verstoppen. Zo werkt het niet bij een net bedrijf. Alles bij Eufy schreeuwt lokaal, dus dit rijmt gewoon niet.

Verwijderd @Zebby • 6 december 2022 13:59

Je kan niet in je marketing keihard en constant A roepen, en dan in je EULA B verstoppen.

Volgens mij heb je nog nooit een EULA gelezen? Dit is vrijwel standaard?

Zebby @Verwijderd • 6 december 2022 14:13

Lang niet altijd, maar vaak genoeg wel. En hoe verandert dat mijn uitspraak, dat klopt toch simpelweg niet? Dat is moedwillig en bewust misleiden.

Je kan als bedrijf schrijven in je EULA wat je wilt, maar dat maakt je geen haar minder aansprakelijk als er simpelweg geen hout van klopt, of als het niet duidelijk omschreven staat. Genoeg bedrijven die het proberen, en gelukkig ook genoeg die er voor worden gestraft, al mag dat nog wel een paar tandjes strenger wat mij betreft. Klaar met het uitbuiten van de consument voor geld.

Verwijderd @Zebby • 6 december 2022 14:38

Lang niet altijd, maar vaak genoeg wel.
Nou, ik werk in IT en ik weet zeker dat niemand de EULA's leest. Want er staan echt verschrikkelijke dingen in (lees die van Facebook eens) waar echt niemand ooit bewust mee akkoord zou gaan.

En hoe verandert dat mijn uitspraak, dat klopt toch simpelweg niet?
Ik ben het wel met je eens, hoor. Maar de dommigheid van mensen is ook geen excuus. Vroeger (ik word oud) geloofde men niet zomaar claims die gemaakt werden. Je moet niet alles geloven wat op TV is. Er werd zelfs openbaar gelachen om de belachelijke claims op TV (zie TV shop op Youtube).

Dat is moedwillig en bewust misleiden
Yep, en dat noemen ze reclame. Ze betalen zelfs groot geld om hun leugens en halve waarheden op de belangrijkste tijdstippen jouw brein in te pompen....Het is niet bepaald nieuw maar plots doet men alsof je tegenwoordig niet meer hoeft na te denken? In dat geval, koop nu een staatslot en wordt miljonair!

Je kan als bedrijf schrijven in je EULA wat je wilt, maar dat maakt je geen haar minder aansprakelijk als er simpelweg geen hout van klopt, of als het niet duidelijk omschreven staat.
Nee, je hebt het precies verkeerd om. Waar het om gaat is wat er in de EULA staat. Dat is het rechtsgeldige contract dat je hebt geaccepteerd. Dat is het ding waar jij akkoord mee bent gegaan. Het IP adres en tijdstip daarvan wordt zorgvuldig bewaard. Zolang daar geen dingen in staan die tegen de wet zijn, ben jij 100% akkoord met alles wat daar in staat. Hoe denk je dat Facebook al jarenlang wegkomt met hun vieze praktijken....

Klaar met het uitbuiten van de consument voor geld.
Tja, uiteindelijk is onze maatschappij er nogal op gebaseerd. Domme veel te dure dingen kopen die we niet echt nodig hebben, waarover beloftes zijn gemaakt die nooit waar te maken zijn...

Zie ook "late capitalism"

redniels @Zebby • 6 december 2022 18:13

het probleem is dat ze niet A roepen en zelfs niet B maar C.
Ze zeggen geen cloud storage. Geen subscription fees. Ze zeggen niet dat je data niet, NOOIT in de cloud verwerkt wordt, sterker: dat wordt gewoon uitgelegd in de documentatie.

Iedereen probeert ze nu wel aan A te houden. En daar klopt geen f*ck van.

m0ridin @redniels • 6 december 2022 09:57

Je bedoelt die EULA waar normaal gesproken 1000 A4-tjes aan tekst is gepropt met zoveel mogelijk juridische termen waardoor veel onleesbaar wordt voor de klant en waarbij het sowieso niet te doen is om alle EULA's te lezen van alle sites, software, services, etc waar je gebruik van maakt?

Los van het andere puntje van unencrypted streams blijkbaar...

Nee, hier ligt de schuld toch echt bij Eufy

EmbarrassedBit @redniels • 6 december 2022 10:37

het komt er op neer dat dit altijd al in de EULA en andere documentatie stond en als men die had gelezen had men dit geweten

Mijn take hieromtrent heeft ongetwijfeld een hoog "Van mijn plantsoen af, jochies!"-gehalte, maar ik ga toch maar 'ns proberen. De laatste jaren is "Haha, je hebt TOS of EULA aanvaard, dus rEkT!" zo'n beetje de standaard-take geworden wanneer je de acties van een dienstenaanbieder tegen de wensen van de gebruiker goedkeurt. Niet eens op basis van abstracte overwegingen uit de filosofie van het verbintenisrecht. Meestal gewoon omdat je fan bent van het merk en het eerder op internet verdedigd hebt, of omdat het een makkelijke manier is om de reikwijdte van mensen met andere maatschappij-opvattingen te beperken. Wanneer TOS of EULA tegen jou gebruikt worden ligt het natuurlijk helemaal anders, want [hypocriete redenen invoegen in voorkomend geval].

Kunnen we nou eens gewoon erkennen dat TOS en EULA verbintenisrechtelijke categorieën zijn, die enkel relevant zijn in de zeer beperkte context van de beslechting van een verbintenisrechtelijk geschil? TOS en EULA zijn in het verlengde daarvan mogelijk verklaringen waarom je niet via de rechtbank of arbitrage gelijk gaat halen (al is de geldigheid van de bepalingen daarin natuurlijk iets dat in het toepasselijk forum nog betwist kan worden, iets waar mensen die "lol je hebt TOS aanvaard" inroepen op Internet meestal geen rekening mee houden).

Verbintenisrechtelijke categorieën zoals TOS en EULA zijn echter niet bepalend voor wat je als consument of als samenleving mag verwachten of eisen van een dienst en de aanbieder ervan. En dat is toch hoe we hier over acties van dienstenaanbieders discussiëren zou ik denken.

[Reactie gewijzigd door EmbarrassedBit op 22 juli 2024 22:05]

redniels @EmbarrassedBit • 6 december 2022 18:04

het komt erop neer dat EUFY nooit NO CLOUD FOR EVERYTHING heeft geroepen. Nooit.

Wat ze wel hebben geroepen:

No cloud (storage).
No subscribtion fees. Ever.

die 2 beloftes zijn gewoon gehouden.

Dat mensen er voor kiezen om van no cloud storage no cloud anything te maken... Da's een beetje flauw.

Patriot @redniels • 6 december 2022 12:59

voor mij is dit echt een storm in een glas water. Een youtuber trekt een salespitch uit zijn verband, leest de documentatie niet of negeert deze opzettelijk en iedereen is dan heel erg boos.

Het No Cloud verhaal van eufy gaat en ging gewoon enkel over opslag. Die staat bij jou lokaal, niet in de cloud. Ieder ander vergelijkbaar product heeft een abonnement voor een dergelijke dienst.

Eufy communiceert zelf dat de gegevens je huis nooit verlaten. Dat is echt niet te rijmen met wat er in de praktijk gebeurde en heeft niets te maken met het uit zijn verband trekken van een salespitch.

redniels @Patriot • 6 december 2022 18:09

Waar zie jij iets staan wat niet klopt dan? welke privacy gevoelige data wordt in de cloud opgeslagen?
Een thumbnail in een cloud based notificatie proces (een van de selling points van deze oplossingen) is echt iets anders dan iets permanent opslaan. Opslaan <> verwerken. dat schijnt niemand te begrijpen of te willen begrijpen. (en voor verwerken van data heb je die data wel even nodig)

lees het eens echt. .....en niet oppervlakkig.

Ik ben hier weer met die zure discussie bezig. Ik houd ermee op.

Patriot @redniels • 6 december 2022 18:32

Waar zie jij iets staan wat niet klopt dan? welke privacy gevoelige data wordt in de cloud opgeslagen?

Dat is toch ook niet wat ik zeg? De belofte op die pagina is duidelijk: Jouw beelden blijven privé, alleen verzonden naar jou en gaan je huis niet uit.

Een thumbnail in een cloud based notificatie proces (een van de selling points van deze oplossingen) is echt iets anders dan iets permanent opslaan. Opslaan <> verwerken. dat schijnt niemand te begrijpen of te willen begrijpen. (en voor verwerken van data heb je die data wel even nodig)

Dat sluit gewoon niet aan bij de uitspraken die ze (nog steeds) maken op het gebied van privacy. Dan zetten ze er maar een voetnoot of asterisk bij. Het feit dat die notificaties met thumbnail zo'n belangrijk selling point zijn maakt heldere, eerlijke, communicatie erover alleen maar belangrijker.

lees het eens echt. .....en niet oppervlakkig.

Ik heb die hele pagina al meerdere keren doorgelezen en kan niet anders dan concluderen dan dat wat ze daar beloven niet goed aansluit op wat ze in werkelijkheid doen. Hun beloftes op het gebied van beveiliging zijn ze zo goed als volledig niet nagekomen, maar dat terzijde.

Ik ben hier weer met die zure discussie bezig. Ik houd ermee op.

Ja, ik snap wel dat je deze discussie vermoeiend vind. De cognitieve belasting is een stuk hoger als je zulk overduidelijk valse claims moet proberen te verdedigen.

Archcry @ytterx • 6 december 2022 09:30

Zou het wel goed kunnen werken wanneer je uitgaand internet verkeer in de firewall blokkeert? Of werkt het product dan gewoon niet meer? Anders zou je het natuurlijk kunnen aanschaffen en het apparaat internet toegang kunnen ontzeggen in de firewall van je router. Dat doe ik sowieso al met veel apparaten hier in huis. En met goede reden zoals ik hier lees.

[Reactie gewijzigd door Archcry op 22 juli 2024 22:05]

EnigmaNL @Archcry • 6 december 2022 09:45

Dan werkt het niet meer aangezien de app contact legt met de camera via het internet.

Archcry @EnigmaNL • 6 december 2022 10:07

Oh, maar dan is "lokaal" wat ze adverteren dus al per definitie via de cloud? Vreemde marketing.

EnigmaNL @Archcry • 6 december 2022 10:08

Nee, de data is lokaal opgeslagen. Notificaties hebben natuurlijk wel internet nodig om naar je telefoon gestuurd te kunnen worden.

Cyb @Archcry • 6 december 2022 10:23

Enkele jaren geleden kwam men er zo voor het eerst iets achter dat Eufy een vrij vreemd ontwerp heeft.
Zodra de Internet verbinding er uit wordt getrokken, neemt de hele camera niets meer op, ook niet lokaal. Bij security minded gebruikers gaan er dan al snel alarmbellen rinkelen: als Eufy alles alleen lokaal opslaat, waarom schakelt het apparaat zichzelf dan praktisch gezien uit, zodra het verbinding met Eufy servers verliest? (Het kan zijn dat ze dit inmiddels hebben opgelost, maar het is wat mij betreft een reden om zeer huiverig te zijn voor dit bedrijf.)

NanoSector @Archcry • 6 december 2022 17:08

Dat heb ik even uitgeprobeerd. In de interface van mijn router (Fritzbox) heb ik internettoegang van de Eufy Homebase ontzegd.

Lokaal werkt de app wel en kan ik mijn camera’s benaderen. Wissel ik naar 4G dan werkt het helemaal niet meer en denkt de app dat de camera’s offline zijn (wissel terug naar WiFi en het werkt weer). Ook krijg ik geen push notificaties meer, wat logisch is als je je bedenkt hoe die werken bij Android en iOS.

Dus het lijkt alsof de camera’s op je eigen netwerk dan nog wel zouden kunnen werken.

Klaus_1250 @ytterx • 6 december 2022 09:27

Het lastige is dat er zo weinig alternatieven zijn. Er zijn maar weinig fabrikanten die lokale opslag bieden, nog minder die het ook nog hebben voor een kwalitatief goede en uitgebreide portfolio en uiteindelijk zijn ze allemaal chinees. Netamo is de uitzondering (frans), alleen hun producten zijn het dan weer net niet.

ronaldmathies @Klaus_1250 • 6 december 2022 09:32

Unify (ubiquiti) heeft geen cloud opslag je moet of een nvr van Unify hebben of een 3rd party oplossing zoals een synology nas. Of je moet de software zelf installeren op een lokale server.

maxxie85

@ronaldmathies • 6 december 2022 09:47

Zeker wel, en om daar gebruik van te maken heb je de cloud key nodig. Het is alleen een keuze voor de consument om een unifi console te draaien of een cloud key.

VFRRijder @maxxie85 • 6 december 2022 10:00

Klopt, maar zelfs met een locale cloud key kan je ervoor kiezen om deze niet met "de cloud" te laten verbinden.

Deleon78 @maxxie85 • 6 december 2022 10:01

De cloud key draait ook lokaal toch? Waarom ie zo heet weet ik ook niet…

Die dongle van vroeger bedoel ik, zie dat er ook een gen2 is.

[Reactie gewijzigd door Deleon78 op 22 juli 2024 22:05]

Quitzcused @maxxie85 • 6 december 2022 10:21

Je hebt helemaal geen cloud key of zelfs dvr nodig. Je kan gewoon dezelfde software volledig lokaal draaien op een server en daar je apparaten mee verbinden.

xFeverr @Quitzcused • 6 december 2022 10:57

Unify Protect is de software waarmee de camera's werken. Die software kun je toch niet op een eigen server draaien? Dat is vgm alleen met Unify Network mogelijk.

lvm98 @ytterx • 6 december 2022 10:37

Precies... Ik voel mezelf opgelicht erdoor, ik wil mijn beelden in eigen beheer hebben... Kansloze appje heeft overigens ook nu reclame banners welke je feedback enorm vertragen.
Ik heb de 'domme' deurbel maar weer teruggehangen en de ouderwetse crappy kwaliteit cctv.

manuarmata @ytterx • 6 december 2022 10:49

Groot gelijk,

Ik had expliciet voor Eufy gekozen omwille van het lokale karakter. enerzijds voor de privacy maar misschien nog meer om niet afhakelijk te zijn van de fabrikant na aankoop. er zijn voorbeelden genoeg van apparaten die plots niet meer werken omdat de ondersteunende server wordt uitgezet. Ik voel me op dit moment dik bedrogen door Eufy. Ik vond een smarthome in het begin heel leuk maar momenteel hou ik er voornamelijk een bittere nasmaak aan over.

kodak

Privacy

@ytterx • 6 december 2022 09:38

Als je als klant meent dat er handhaving nodig is voor oneerlijke handel en verwerken van persoonsgegevens, dan is het dus verstandig om ook zelf te klagen bij de verkoper, de fabrikant en de toezichthouders (acm en ap).

Sando @ytterx • 6 december 2022 10:08

Je kan apparaten tegenwoordig beter het nadeel van de twijfel geven. Zo kwam ik er ook achter dat mijn stofzuigrobot op commando vanuit de cloud, maar niet door de gebruiker zelf, mijn netwerk kan afluisteren met tcpdump. Zie deze CCC-talk op 9 minuut 45. Zoiets gebeurt ook op smartphones. De AIVD waarschuwt niet voor niets voor spionage. Ze moeten natuurlijk wel attack vector hebben voor het geval je bij ASML werkt.

Ik heb inmiddels al mijn meuk geroot, gehacked, geflashed, geblokkeerd of weggegooid.

xFeverr @Sando • 6 december 2022 11:03

met tcpdump kun je toch alleen het netwerkverkeer zien wat het apparaat toch al krijgt? De verbinding tussen mijn computer en NAS bijvoorbeeld zou je niet kunnen zien met tcpdump vanaf de stofzuiger. Anderzijds, de stofzuiger die met de cloud (of andere lokale apparaten) praat zou je wel kunnen zien met tcpdump (vanaf de stofzuiger). Opzich niet heel erg om dat als logging beschikbaar te hebben voor klantenservicedoeleinden.

Of zit ik nou mis?

Sando @xFeverr • 6 december 2022 11:23

met tcpdump kun je toch alleen het netwerkverkeer zien wat het apparaat toch al krijgt? De verbinding tussen mijn computer en NAS bijvoorbeeld zou je niet kunnen zien met tcpdump vanaf de stofzuiger.

Nee, dat heb je verkeerd. Tcpdump is krachtig, de beperkende factor is de hardware.

Met tcpdump kan je al het verkeer tussen alle apparaten op het Wifi/SSID zien, mits de network interface controller (NIC) het ondersteunt (NMIC). Dat kunnen meer netwerk controllers dan je denkt. Heb je vroeger wel eens een WEP-secured Wifi gekraakt met aircrack-ng op je laptop? Dan ondersteunde die NIC ook monitoring mode.

[Reactie gewijzigd door Sando op 22 juli 2024 22:05]

Verwijderd 6 december 2022 08:42

Mooi dat ze het nu melden, maar was toch best logisch dat ze ze ergens op moesten slaan om ze als melding naar je telefoon te kunnen sturen? Dat is nu eenmaal hoe push technologie werkt.

Robbierut4 @Verwijderd • 6 december 2022 08:45

Er zijn methodes om meldingen te doen zonder het op de cloud op te slaan.

Daarnaast was het hele ding van Eufy natuurlijk dat niks in de cloud stond. alle reclame was daaromheen, productpagina legde nog uit waarom de cloud zo erg was enzo.

Dan kun je het niet maken om alsnog gewoon de cloud te gebruiken.

Verwijderd @Robbierut4 • 6 december 2022 08:49

Zal gerust zonder cloud lukken, maar ook op grote schaal? vermoed dat het daar de mist in gaat.
En als het dan geen cloud is, dan zal het al snel de server van het bedrijf achter de app zijn.
Dat is niet echt een verschil denk ik

Was inderdaad hun marketing stokpaardje, we slaan alles lokaal op.
Als je het zonder app en meldingen gebruikt misschien nog waar ook, maar wat is het nut van een slimme deurbel, als je de meldingen niet krijgt?

Merethil @Verwijderd • 6 december 2022 08:53

Je hebt toch een server waar het vandaan kan komen? Zo'n pushmelding kan prima van jouw eigen Eufy homebase naar je telefoon gepusht worden, is echt geen server van Eufy voor nodig.

Het is gewoon slecht gebouwd en daar willen ze niet 1-2-3 iets aan doen (of dat komt door gebrek aan mankracht, gebrek aan kennis, gebrek aan geld of gewoon gebrek aan welwillendheid laat ik even in 't midden). Dat het nu vermeld wordt is netjes maar had natuurlijk veel eerder al moeten gebeuren. Zeker als je hele USP lokale opslag en "data in eigen beheer" is.

Verwijderd @Merethil • 6 december 2022 09:02

En hoe weet je homebase waar je telefoon zich bevindt?
De melding ophalen lukt ook niet, omdat je telefoon ook niet weet waar de homebase is.

Dit komt omdat je geen vaste IP's op consumenten lijnen krijgt bij de meeste providers en de meeste consumenten dat ook niet boeit. Is natuurlijk wat omheen te knutselen, maar je zit al snel met instellingen in routers voor port forwards etc. dan haken de klanten af.

Merethil @Verwijderd • 6 december 2022 09:11

Euh nee, je pushmelding gaat naar Apple danwel android met je specifieke device-ID zodat hun framework voor in-app-pushmessages het verder kan uitzoeken.
Of denk je dat jouw app continu met de servers van Eufy loopt te praten om al je continu veranderende ip-adressen bij te houden? Lekkere battery drain is dat.

Stukje van Apple's documentatie als voorbeeld:

You can generate notifications locally from your app or remotely from a server that you manage. For local notifications, the app creates the notification content and specifies a condition, like a time or location, that triggers the delivery of the notification. For remote notifications, your company’s server generates push notifications, and Apple Push Notification service (APNs) handles the delivery of those notifications to the user’s devices

[Reactie gewijzigd door Merethil op 22 juli 2024 22:05]

Verwijderd @Merethil • 6 december 2022 09:18

Apple en Android doen het via de cloud, het moest juist zonder toch? Direct van homebase naar telefoon wilde je toch? (haast onmogelijk op grote schaal)
Dus hoe gaan we dat dan opgelost krijgen op een manier dat klanten het snappen?

Volgens mij hebben veel mensen zich laten bedotten met reclame onzin over "baas over je data" en "data in eigen huis" terwijl je op je vingers kon natellen dat dat nooit zo zou zijn...

Merethil @Verwijderd • 6 december 2022 09:21

Het gaat inderdaad via Apple's / Android's cloud, maar dat is ook (praktisch, in theorie kan het wel) niet te omzeilen als je pushmessages voor een niet-actieve app (of een app in het algemeen tenzij de app niets mag/kan) wil gebruiken, maar dat leek me verder ook overduidelijk hierin.
Het ging erom dat er nul reden is om het via Eufy's servers te laten lopen.

Let ook even op mijn eerste bericht waar staat:

is echt geen server van Eufy voor nodig.

[Reactie gewijzigd door Merethil op 22 juli 2024 22:05]

Verwijderd @Merethil • 6 december 2022 09:33

Hun eigen server voor opslag is mogelijk het stukje "niet in de cloud" voor ze geweest.
Is niet nodig, maar maakt het gewoon een heel stuk makkelijker voor ze.
En dat is vooral waar het hier mis gaat: Gemak!

Merethil @Verwijderd • 6 december 2022 09:36

En het voldoet totaal niet aan hun eigen marketing. Zo, cirkeltje rond

Gemak is prima, maar als het opgeslagen staat op een server van een ander (en daar niet alleen als cache tot het bericht is gelezen maar ook nog eens langer blijft staan - zelfs nog als je je account verwijdert) dan is de opslag per definitie niet meer lokaal.

Daarnaast kwam nog het security-aspect waarbij je heel makkelijk URL's kon uitproberen tot je bij andermans plaatjes uitkwam en dat de berichten zelf ook unencrypted waren... Dan liever géén tussenkomst van een externe server voor dat beetje gemak

Verwijderd @Merethil • 6 december 2022 09:39

Ach, ik heb een Ring hangen, dus ook gewoon opslag in de cloud.
Maar dat wist ik toen ik hem kocht, prima voor mij.
Leverde me onlangs weer een leuk filmpje op toen Sint de deurbel begroete

moonlander @Verwijderd • 6 december 2022 09:09

Misschien haken klanten niet af, die kopen zo'n ding en installeren het. Maar dan werkt het niet, dus klantenservice bellen.. Tsja die klantenserivce wil ook niet elke router of thuis netwerk instellen. Laat staan of de provider het toelaat (want ze hebben klanten wereldwijd)

david-v

@Robbierut4 • 6 december 2022 09:10

Er zijn methodes om meldingen te doen zonder het op de cloud op te slaan.

hebben we het hier over pushmeldingen? ik ben wel benieuwd welke methodes dat zijn. Kan je dat uitleggen?

lenwar

Privacy

@david-v • 6 december 2022 09:37

Ik ben zelf geen ontwikkelaar, maar als we kijken naar Home Assistant, die kan gebruik maken van een Websocket API. Die wordt (opioneel) automatisch gebruikt wanneer je met je Apple apparaat in hetzelfde LAN zit als je Home Assistant installatie.
Android apparaten hebben schijnbaar een 'persistent notification' nodig om ditzelfde te kunnen doen.
https://companion.home-as...tions/notification-local/

N.B. Dit gaat dan puur en alleen over notificaties die puur en alleen lokaal gaan (dus zonder wat voor cloud dan ook).

Home Assistant kan met ook bijlagen meesturen als zonder dat er ook maar een cloud-stukje van Home Assistant bij komt.
https://companion.home-as.../notification-attachments

(( Mocht ik bovenstaande verkeerd begrijpen van HA, word ik graag gecorrigeerd natuurlijk ))

david-v

@lenwar • 6 december 2022 09:49

Dat staat volledig los van pushnotificaties, die moeten altijd via Google Firebase en Apple APNS. Lokale communicatie van een apparaat met een applicatie die continu op de achtergrond draait is iets anders. Bij een pushnotificatie communiceert het apparaat met een service van de maker (of op de device zelf, kan ook) die vervolgens de notificatie naar APNS en/of Firebase stuurt. Je hebt dan inherent te maken met clouddiensten.

Ik snap dan ook het probleem/dilemma waar eufy mee kampt. De camera heeft de thumbnail, maar die kan je niet naar de app sturen direct (die is afgeloten, vaak doet de OS dat soort applicaties afsluiten). Dus dan maar via pushnotificaties. Je hebt dan keuze voor most efficient (geen plaatjes alleen tekst) of full (met thumbnail). Die thumbnail moet dan ergens staan en moet ook beschikbaar zijn vanuit je mobiel als je de notificatie opent. Dus opslag "ergens".

lenwar

Privacy

@david-v • 6 december 2022 09:55

die moeten altijd via Google Firebase en Apple APNS.

Nou ja.
Blijkbaar dus niet als je de eerste link leest:

Local Push uses the WebSocket API to deliver notifications to your device instead of using Apple's Push Notification Service or Google's Firebase Cloud Messaging.

Het werkt dan uiteraard alleen als je apparaat zich in hetzelfde LAN bevindt. Wezenlijk wordt het push-mechanisme van besturingssysteem dan overgeslagen en gaat het direct de app in. (kort door de bocht)

Maar goed.
Stel dat het via de cloud-diensten van Apple/Google verlopen. Is het mogelijk om bijlagen direct mee te sturen via die services, zonder dat die elders worden gecached dan Apple/Google? Op het moment dat je een toestel van Google/Apple gebruikt heb je wezenlijk toch al heel veel vertrouwen in de betreffende service-verlener toch?

david-v

@lenwar • 6 december 2022 10:03

Dat is iets anders dan een pushnotificatie. Hiervoor moet de app continu draaien in de achtergrond (met een permanente pushnotificatie). Dat heeft invloed op je batterij. Echter, hier heb je niks aan als je niet thuis bent en toch wil zien wie er aanbelt, om maar een voorbeeld te noemen. Daarom wordt vaak voor een pushnotificatie gekozen die door het OS wordt afgehandeld.

Om even het verschil duidelijk te maken, bij gebruik van de websocket API zal de notificatie nooit aankomen als je device uitstaat of als je even geen verbinding hebt. Bij een pushnotificatie krijg je die "gemiste" berichten wel. Daarom krijg je een hoop geping als je je telefoon een paar dagen hebt uigezet, dan komen al die pushberichten binnen. Zowel Apple als Google bewaren die berichten maximaal 30 dagen en per app dacht ik maximaal 100 berichten.

lenwar

Privacy

@david-v • 6 december 2022 10:18

Klopt. Dat staat ook allemaal in de linkjes die ik opstuurde.

Maar weet je ook of je bijlagen bij Google danwel Apple kan laten cachen, dus dat ze op een één of andere manier worden opgestuurd naar ze? Dus dat ze niet per se elders gecached moeten worden? Of kan je 'slechts' een URL meesturen waar je telefoon ze moet ophalen.

david-v

@lenwar • 6 december 2022 10:32

Ik ben niet zo van de "plaatjes" in pushnotificaties, maar wat ik ervan begrijp is dat deze dan via een URL benaderbaar moeten zijn vanuit je mobiel. Je kan die plaatjes zelf servicen in je eigen infrastructuur (wat eufy hier vermoedelijk doet) of je kan ze ook bewaren in bijvoorbeeld Cloud Storage for Firebase. Deze laatste heeft een security model waardoor het plaatje niet zomaar door iedereen ingezien kan worden. Ik weet niet alles over een dergelijke implementatie, maar het is zoals gezegd niet simpel/mogelijk om zonder een storage "elders" pushnotificaties met klantspecifieke thumbnails te sturen, zeker als deze ook moeten werken indien je niet thuis bent.

PizZa_CalZone @Verwijderd • 6 december 2022 08:49

Dat is nu eenmaal hoe push technologie werkt.

Als ik een app heb op mijn telefoon, en ik heb push-notificaties voor die app aangezet. Dan maakt het toch niet uit wat de bron is van de informatie die de app naar mijn telefoon pushed? Het hoeft niet via de cloud, die app kan ook rechtstreeks connectie hebben met mijn camera zonder tussenkomst van derden.

david-v

@PizZa_CalZone • 6 december 2022 09:11

Als ik een app heb op mijn telefoon, en ik heb push-notificaties voor die app aangezet. Dan maakt het toch niet uit wat de bron is van de informatie die de app naar mijn telefoon pushed? Het hoeft niet via de cloud,

het moet via Google of via Apple services, dus vul maar zelf in wat je bedoeld met "het hoeft niet via de cloud"

PizZa_CalZone @david-v • 6 december 2022 10:17

We praten over twee devices die aan het internet hangen, allebei hebben ze een ip adres al dan niet via NAT/Firewall/Routering.

Waarom moet een device dan via een cloudprovider communiceren? Je kan theoretisch gewoon kleppen tussen twee internet-connected devices.

david-v

@PizZa_CalZone • 6 december 2022 10:25

Dat kan zeker prima, maar dat zijn geen pushnotificaties. Daarnaast wordt ik niet heel blij als alle applicaties maar in de achtergrond blijven draaien om directe communicatie mogelijk te maken

xFeverr @david-v • 6 december 2022 11:16

via Google is niet verplicht. AOSP bijvoorbeeld heeft geen Google Services en dus ook geen Firebase Messaging. Of al die chinese telefoons, Huawei telefoons, Amazon Fire tablets. etc. etc. Het is wel zo dat Firebase op een manier geïntegreerd is waarbij het een beetje probeert te letten op batterijgebruik en blijft als aparte service actief op je toestel. Maar het is niet verplicht. Ik had ooit eens gelezen dat de top 10 grootste apps op Android daar bijvoorbeeld allemaal geen gebruik van maken. Maar kan de bron zo snel niet vinden. Bovendien kan het intussen al veranderd zijn.

Apple's APNS is echter wel verplicht. De Home Assistant app kan een websocketverbinding opzetten voor pushnotificaties, maar dat werkt alleen als je op hetzelfde netwerk zit. Dus buitenshuis gaat die vlieger niet meer op. En web notificaties zouden met iOS 16 moeten komen, maar zijn nog steeds niet actief (zonder experimentele features aan te zetten).

david-v

@xFeverr • 6 december 2022 11:28

Je hebt uiteraard gelijk dat als je geen google services hebt je dan niet via Firebase hoeft te gaan. Echter, dit is voor vrijwel het meerendeel van de android gebruikers niet van toepassing. Bovendien, je kan als leverancier wel je eigen dienst gaan opzetten, maar dan blijft het nog steeds een "externe" of "cloud" oplossing. Bijvoorbeeld pushy, het blijft een cloud oplossing.

De discussie gaat er om dat je alles lokaal zou kunnen regelen tussen de camera en je app, maar dat werkt dus alleen via directe verbinding en alleen als je app continu in de achtergrond draait om de berichten af te kunnen handelen.

xFeverr @david-v • 6 december 2022 11:32

Dat klopt. Uiteindelijk moet je toestel toch een verbinding met iets hebben waarover het pushmeldingen gaat ontvangen. Is het niet Firebase, dan is het wel wat anders. Dan zou je een pushserver (voor Android) moeten draaien op de Homebase en ervoor moeten zorgen dat die vanaf buiten te benaderen is, in combinatie met een DDNS-achtig systeem (want je WAN IP zou in theorie kunnen wijzigen). Dat gaat never nooit niet werken natuurlijk.

david-v

@xFeverr • 6 december 2022 11:40

Beste oplossing als je dit niet wil is dus "text only" instellen in eufy app, dan heb je dat cloud thumbnail gedoe niet. Zodra je de app opent na klikken op de pushnoitificatie kun je weer alles zien en zal er (hopelijk) niet ergens stiekem alsnog een plaatje of video worden opgeslagen door eufy. E2E encryption tussen de client app en de camera is dan een vereiste. Het lastige is dat je vaak de firmware van de camera én de source van de app niet beschikbaar zijn, je bent dan overgeleverd aan de mooie ogen van de leverancier die zegt dat het zo is

Ik ben zelf nog aan het kijken naar de unifi protect producten. Die hebben camera's en ook een deurbel. Je moet alleen wel iets meer neerleggen

Polderviking

@david-v • 6 december 2022 13:27

Moet is wel heel stellig.

Mijn home assistant app stuurt me ook notificaties vanuit mijn domotica via websocket uit mijn hoofd.
Gaat dus niet via Google's firebase.
Het heeft alleen implicaties voor dingen als standby rechten (en dus mogelijk accuverbruik) van de app.

david-v

@Polderviking • 6 december 2022 13:35

zoals ik al eerder heb gezegd, dat zijn geen pushnotificaties zoals we dat gewend zijn van andere apps. Hiervoor moet de app in de achtergrond draaien en zal alleen lokaal werken. Dus zodra je je huis uit gaat is het afgelopen en moet je wel een "echte" pushnotificatie sturen.

Polderviking

@david-v • 6 december 2022 13:41

Het werkt niet gestroomlijnd, en het is zeker niet hoe Google graag heeft dat je het doet.

Maar veel mensen die er echt hard aan trekken dat iets niet in een "cloud" verdwijnt krijgen het echt wel klaar om een poortje door te sturen.
En dat zijn nou net de mensen die je aanspreekt als je iets verkoopt wat lokaal data opslaat.

Het kan wel, het is alleen niet zo elegant.
Dat niet aanbieden is een keuze die ze bij Eufy gemaakt hebben.

david-v

@Polderviking • 6 december 2022 13:47

De keuze die ze geven is wel of geen thumbnail sturen. Mensen die eufy kiezen zijn niet per definitie mensen met een tech achtergrond, die kiezen eerder voor een unifi product bijvoorbeeld. Dat je filmpjes en thumbnails lokaal bewaard kunnen worden is juist de selling point van eufy. Let op, kunnen, want ook eufy biedt cloud opslag aan. Het thumbnail dilemma is iets wat ze nu hebben opgelost met een melding bij die keuze. Openen van poorten en dergelijke zie ik niet de "standaard" gebruiker doen. Dat is meer voor de wat "fanatiekere"

kant met een pihole enz.

Bovendien, ik sta er niet op te wachten om allerlei apps op mijn telefoon te hebben die continu moeten draaien om maar die lokale notificaties te ontvangen. Dan liever de keuze om alleen tekst notificaties te sturen

HWAM @Polderviking • 11 december 2022 18:16

Ook via Home Assistant toevallig?
Ik gebruik de eufy-security-ws docker met Home Assistant maar daarin nu geen thumbnails meer! Helaas. Werkte zo mooi. Ik stuurde ze direct naar Telegram. Nu ben ik weer afhankelijk van die trage Eufy app. Goed waardeloos. Soms is minder security toch wel fijn. Een url die niemand kent is in mijn ogen geen probleem.

The Zep Man

Privacy
Beveiliging

@PizZa_CalZone • 6 december 2022 08:53

Als ik een app heb op mijn telefoon, en ik heb push-notificaties voor die app aangezet. Dan maakt het toch niet uit wat de bron is van de informatie die de app naar mijn telefoon pushed? Het hoeft niet via de cloud, die app kan ook rechtstreeks connectie hebben met mijn camera zonder tussenkomst van derden.

Een probleem is dat je camera zelf niet direct kan 'pushen' naar je smartphone. Je camera is waarschijnlijk (hopelijk) niet direct aanspreekbaar via internet, en hoe je smartphone bereikt kan worden op enig moment is onduidelijk voor je camera, tenzij die toevallig op hetzelfde thuisnetwerk zit. Er zijn wel self-hosted oplossingen hiervoor, maar die zijn voor 'sluit aan, moet werken'-gebruikers te complex.

Overigens zijn er wel oplossingen om via de 'cloud' (de server van een ander) veilig thumbnails te delen tussen twee apparaten. Dat betreft een combinatie van end-to-end encryption en een verbinding tussen camera-server en server-smartphone.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 22:05]

Verwijderd @PizZa_CalZone • 6 december 2022 08:53

En hoe gaat de app connectie maken met je deurbel als jij je buiten het wifi netwerk bevind?
Want je deurbel hangt achter de nat, op een voor je telefoon onbekend IP adres vanwege DHCP.
Dus de deurbel en app communiceren beide met een centraal systeem om elkaar te vinden.

Het kan allemaal wel zonder, via een VPN of door het handmatig in te stellen, maar dat gaat de gemiddelde klant allemaal niet begrijpen, dus verkoopt je product voor geen meter. Zeker niet als je de concurrentie met Ring aan wilt gaan. Wat overbleef was de optie om je claim net niet helemaal te laten kloppen, wat bij zo veel bedrijven gebeurt tegenwoordig, hopen dat ze het niet ontdekken

Alfa1970 @Verwijderd • 6 december 2022 11:12

Tja, voor het NAT probleem is 30 jaar geleden een heel mooi mechanisme uitgevonden:
NAT Traversal.
Leuk dat je VPN's aanhaalt, want daar is het mede voor uitgevonden.

Verwijderd @Alfa1970 • 6 december 2022 11:26

Het is ruim 20 jaar geleden opgelost met de komst van IPv6

Alfa1970 @Verwijderd • 6 december 2022 15:09

Dat klopt met IPv6 dat al bijna 25 jaar (1998) bestaat kun je dat probleem ook oplossen.
De meeste Nederlandse ISP's doen niets met IPv6 dus is dat ook niet realistisch als oplossing, hoewel je eventueel IPv6 over IPv4 kan tunnelen.

Verwijderd @Alfa1970 • 6 december 2022 15:11

kpn en ziggo zijn, na een wat trage start, inmiddels beide bereid je ipv6 te leveren. 😉
Maar helaas. Ipv6 heeft nog een lange adem nodig.

vmihai @PizZa_CalZone • 6 december 2022 08:56

Hoe communiceert je telefoon met je camera als je niet thuis bent dan?

PizZa_CalZone @vmihai • 6 december 2022 10:26

Via internet?

Die camera kan met een cloudprovider communiceren, dus ook rechtstreeks met mijn telefoon ongeacht waar ik mij bevind. Zoals eerder gezegd kan je gewoon een encrypted verbinding opzetten, je moet alleen even regelen dat je netwerktechnisch toegang hebt.

Sommige mensen geven aan dat dit lastig is voor de huis-tuin-en-keukengebruiker. Ik ben van mening dat je niet je hele hebben en houwen aan het internet moet hangen zonder dat je weet wat je aan het doen bent.

Alles maar via een cloudprovider laten lopen en dan achteraf klagen dat je thumbnails op internet staan...

david-v

@PizZa_CalZone • 6 december 2022 11:01

Die camera kan met een cloudprovider communiceren, dus ook rechtstreeks met mijn telefoon ongeacht waar ik mij bevind.

Dus de eufy app moet continu draaien om te "luisteren" naar je camera(s). Nee Bedankt, ik probeer zuinig om te gaan met mijn batterij

vmihai @PizZa_CalZone • 6 december 2022 11:32

Ja, via internet, dat snap ik. Maar dat zou je open moeten zetten op je router, dat bedoel ik

Oon

@Verwijderd • 6 december 2022 09:10

Het probleem dat iedereen nu ineens vergeten lijkt te zijn is dat er naast de lage resolutie thumbnail ook twee volledige resolutie screenshots werden opgeslagen die niet nodig waren voor die melding.

Die thumbnail kan op Android ook uit de app gehaald worden; de push notificatie kan deze bij de app ophalen zonder dat de afbeelding naar de server gestuurd wordt. Weet niet of dat op iOS ook werkt, maar lijkt me wel.
Maar daarnaast is het dus helemaal niet nodig om ook nog eens twee grote afbeeldingen op de server op te slaan die de gebruiker niet eens ziet.

Loller1 @Verwijderd • 6 december 2022 09:19

Alleen is dat ten eerste al heel expliciet het tegenovergestelde van wat ze tot nu toe hebben beweerd in hun marketing en zeker voor gewone consumenten geen algemene kennis, en ten tweede is het ook totaal niet nodig om het op een andere server op te slaan om het in een push notificatie te steken...

aldieaccounts @Verwijderd • 6 december 2022 09:52

Als ze reclame maken met 'alles is lokaal' en dat is vervolgens niet zo dan zitten ze fout. Einde verhaal. Dat dat vervolgens technisch onmogelijk is doet daar niks aan af. Dan moeten ze niet iets beloven wat ze niet waar kunnen maken.

Als een autofabrikant adverteert met een auto die op ranja rijdt ipv benzine dan mag dat ook niet.

Daarbovenop waren die thumbnails dus niet eens encrypted. Da's wel heel slordig met iets privacy-gevoeligs als camerabeelden.

Rabb @Verwijderd • 6 december 2022 09:26

Zonder thumbnail werkt het blijkbaar gewoon zonder cloud, dan moet dat met thumbnails ook kunnen.

david-v

@Rabb • 6 december 2022 09:54

Nee, een pushnotificatie tekst kan standaard zijn en ingesteld op een server, daar heb je alleen een "signaal" nodig van de camera dat er een event is opgetreden. Maar een thumbnail, dat is informatie die je wel nodig hebt van de camera. Die moet ergens opgeslagen worden als je die wil zien in je pushnotificatie.

Als je dat niet wilt, kies dan voor "most efficient", daar krijg je alleen maar tekst en pas als je de app opent zie je de lokaal opgeslagen beelden/thumbnail.

dehardstyler 6 december 2022 08:46

En in plaats van het nu wel uitzetten, zodat ze voldoen aan hun eigen verkoopstatement, gaan ze nu gewoon een waarschuwing laten zien?

Leuk product!

CH4OS @dehardstyler • 6 december 2022 08:55

Zouden de thumbnails wel lokaal staan, zullen ze ook een poort moeten forwarden voor je, met een hoop trammelant van dien. Daarnaast werkt UPnP ook niet vlekkeloos en zie ik niet elke gebruiker de webinterface van diens router begrijpen, laat staan snappen dat je om een server te draaien een poort die t teforwarden, zodat het bereikbaar is.

Dit soort zaken zijn wat dat betreft vaak een storm in een glas water.

[Reactie gewijzigd door CH4OS op 22 juli 2024 22:05]

Merethil @CH4OS • 6 december 2022 09:13

Ze zouden in de message zelf gewoon een (base64) image mee kunnen geven die de app weer laat zien. Daarvoor heb je geen linkje nodig verder - het bericht is gewoon tekst dus als je je plaatje in tekst meestuurt kan de app alles zelf zonder verdere lookups naar externe bronnen afhandelen.

CH4OS @Merethil • 6 december 2022 09:59

Dan blijft de afbeelding voor altijd beschikbaar in het bericht als je het niet verwijderd, iets wat men ook niet wilt.

Merethil @CH4OS • 6 december 2022 10:10

Dat kan inderdaad, maar je kan het bericht automatisch laten verlopen waarna het verwijderd wordt. Dat bezwaar lijkt me dus niet een reden om "dan maar dingen op te slaan op een server die niet van jou is" waarna deze plaatjes ook nog eens tijdenlang beschikbaar blijven zonder verdere beveiliging.

CH4OS @Merethil • 6 december 2022 10:24

Ik zou dat eerder een anti-feature beschouwen dan dat het iets toevoegt. Natuurlijk is dat veiliger dan niets doen, maar de klant bepaald nog altijd zelf (bij voorkeur) wat diegene met de data wilt doen. De data is immers van de klant, niet van Eufy.

[Reactie gewijzigd door CH4OS op 22 juli 2024 22:05]

Merethil @CH4OS • 6 december 2022 10:30

Maar als je die insteek hebt zou het toch juist niet op Eufy's servers mogen staan? Want dan wordt de data opeens van Eufy. En met hun matige oplossing en "kijk op security" is die data eigenlijk gewoon voor iedereen op het internet gezien hoe laks het is beveiligd.

CH4OS @Merethil • 6 december 2022 10:57

Ligt natuurlijk totaal aan de voorwaarden.

Merethil @CH4OS • 6 december 2022 11:02

Of de beveiliging op orde is en je gegevens gedeeld kunnen worden met het hele internet ligt aan je voorwaarden?

Ik mag ook niet zomaar marketen dat ik iedereen z'n gegevens niet opsla op mijn servers om dan zomaar in mijn voorwaarden te zeggen dat ze toch wel worden opgeslagen want "nodig voor randzaken". Sterker nog, dat heet gewoon false advertisement en is in tal van landen zeer illegaal.

CH4OS @Merethil • 6 december 2022 11:03

Of het eigendom overgaat naar Eufy wanneer een afbeelding voor een notificatie op hun cloudomgeving wordt geparkeerd.

Merethil @CH4OS • 6 december 2022 11:17

Dat is mooi, ik heb even de EULA erbij gepakt. Daar staat dus niets in over transferring ownership, data die van een ander wordt of iets soortgelijks. Wel staat er in b.v. de Australische variant dat er een kopie van al je data gemaakt mag worden voor archival and legal purposes, en dat alle data publiekelijk gebruikt mag worden:

EUFY does not claim ownership of Content you submit or make available for inclusion on the Eufy Services. Nevertheless, with respect to Content (including all related intellectual property rights) you submit or make available for the Eufy Services, you grant EUFY the following worldwide, royalty-free, nonexclusive, perpetual, irrevocable, sublicensable and transferable license(s), as applicable: the license to use, distribute, reproduce, modify, adapt, make derivative works of, publicly perform and publicly display such Content on the Eufy Services solely in connection with providing you the Eufy Services, as permitted through the functionality of the Eufy Services and under these Terms. You grant EUFY the right to maintain a copy of the Content (including all related intellectual property rights) for archival and legal purposes. You also hereby do and shall grant each user of the Eufy Services a non-exclusive license to access and use your Content through the Eufy Services, as solely permitted through the functionality of the Eufy Services and Eufy by you and under these Terms.

In de EULA van o.a. de US zit dit niet en derhalve zou dit dus niet mogen. Andere EULA's heb ik niet kunnen vinden, noch terms & conditions. Wel is er een Nederlandse privacypagina van Eufy die het volgende zegt:

Lokale opslag
Thuis is waar uw gegevens behoren. Met veilige lokale opslag verlaten uw privégegevens nooit de veiligheid van uw huis en zijn ze alleen voor u toegankelijk.

End-to-end-encryptie
Alle opgenomen beelden zijn op het apparaat gecodeerd en worden rechtstreeks naar uw telefoon verzonden - en alleen u hebt de sleutel om de beelden te decoderen en bekijken. Gegevens tijdens verzending zijn gecodeerd.

https://nl.eufy.com/pages/privacy-commitment

Grappig genoeg blijken dus die dingen ook niet waar te zijn, getuige de mensen die streams via VLC konden inzien en dat plaatjes/beelden dus naar hun server gaan.
Wel hebben ze nu dit (weet niet of het er eerder ook al stond):

1.Wanneer neemt eufy mijn video's op of slaan jullie deze op?
eufy neemt video's op en slaat deze lokaal op wanneer beweging wordt gedetecteerd door uw apparaat. Als u zich abonneert op onze cloudopslagservice, worden uw video's veilig opgeslagen in de cloud en kunnen ze op elk moment worden verwijderd. Uw video's worden permanent van onze servers verwijderd volgens de opslagperiode van uw abonnement.

Maar da's dus alleen als je de cloudopslagservice gebruikt. Als je alleen lokale opslag zou hebben zouden ze dus géén data naar hun servers mogen sluizen.

Budha @Merethil • 6 december 2022 11:23

De maximale payload voor een pushnotificatie via APNS is 4KB en ik meen dat dit hetzelfde is bij Android. Zeker i.c.m. base64 encoding is dat veel te weinig voor een thumbnail.

Merethil @Budha • 6 december 2022 11:35

Hm ik kon herinneren dat wij meer stuurden maar het is even geleden. Dan wordt een base64-string image inderdaad onmogelijk tenzij je thumbnail 128 pixels groot is

ManIkWeet @CH4OS • 6 december 2022 09:34

Je hebt toch gewoon e2e encryptie? Je vraagt je thumbnail op, je eigen thuisopslag genereerd die, stuurt 'm naar hun server, die 'm doorstuurt naar jou... allemaal encrypted?

Ik zie niet waarom die afbeeldingen ooit op hun servers moeten staan...

CH4OS @ManIkWeet • 6 december 2022 10:01

Op die manier blijft de afbeelding altijd beschikbaar zolang het bericht bestaat. Dan is het weliswaar versleuteld door de encryptie, maar feit blijft dat de data beschikbaar blijft en na herinstallatie juist weer niet meer werkt, omdat de keys niet (correct) gebackupped zijn.

Sando @ManIkWeet • 6 december 2022 10:11

Ik zie niet waarom die afbeeldingen ooit op hun servers moeten staan...

Misschien is encryptie van afbeeldingen niet mogelijk voor notificaties? Anders kan ik alleen bedenken dat bepaalde overheden op zoek zijn naar persoonsgegevens en beeldmateriaal.

Kodess @ManIkWeet • 6 december 2022 13:35

Notificaties. Met dank aan Google en Apple, die geen ondersteuning hebben voor encryptie van notificatie gegevens.

captain007 @CH4OS • 6 december 2022 09:09

Dat hoeft geen reden te zijn. Met technieken zoals WebRTC zou dat niet hoeven en er zijn nog andere technische oplossingen mogelijk waarbij je toch niet allerlei port forwarding rules hoeft aan te maken of onzalige zaken zoals UPnP (wat echt verbannen zou moeten worden overigens) hoeft te gebruiken.

dehardstyler @CH4OS • 6 december 2022 09:17

Mooi allemaal. Maar het is verkocht als compleet lokale oplossing, dus de rest is allemaal ruis.

Om dat af te wimpelen op een storm in een glas water lijkt mij veel te kort door de bocht.

CH4OS @dehardstyler • 6 december 2022 10:00

Sowieso is dit iets wat na aanpassingen (zoals deze dus) over waait en men weer over gaat op de orde van de dag. Geen idee hoe dat dit dan geen storm in een glas water is.

[Reactie gewijzigd door CH4OS op 22 juli 2024 22:05]

EnigmaNL @CH4OS • 6 december 2022 10:16

Het is inderdaad gewoon een storm in een glas water. Het grappige is dat vrijwel iedere consument het totaal niet interesseert waar zijn data staat, de belangrijkste reden waarom mensen Eufy deurbellen willen is omdat je er geen abonnement voor nodig hebt. Het gaat puur om geld. Goed geprijsde camera's die geen abonnement nodig hebben.

Cyb @CH4OS • 6 december 2022 10:27

Dat portforwarding verhaal klopt niet, ondanks dat er een bekende Youtuber (The Hook Up) die Eufy er onterecht mee loopt te verdedigen. Zie mijn uitgebreide reactie in: https://gathering.tweaker...message/73671746#73671746
Je kan immers end-to-end encryptie toepassen, of nog gebruikelijker: hole punching toepassen.

[Reactie gewijzigd door Cyb op 22 juli 2024 22:05]

Horatius @dehardstyler • 6 december 2022 08:57

Ja? Er is een reden dat ze het opslaan en kennelijk vinden ze die feature belangrijker dan dat verkoopstatement. Vrij normale gang van zaken en een keus welke een bedrijf kan maken.

Kan prima begrijpen dat ze liever thumbnails hebben in hun push notificaties dan geen maar wel een "leuker" verkoop statement. Heb dat liever zelfs.

Zyppora @Horatius • 6 december 2022 09:21

Dit valt gewoon onder misleiding. Dat jij dat een 'normale gang van zaken' vind betekent niet dat het niet gewoon een overtreding van de wet is. Buiten dat, gaat het hier om een schending van de privacy van de gebruikers van die cameras, wat dan weer een AVG overtreding is.

Het feit dat dat als 'normale gang van zaken' beschouwd wordt vind ik een argument voor strengere handhaving, en wellicht zelfs hogere boetes op dit soort praktijken. Blijkbaar schrikken de huidige boetes en controles niet genoeg af.

Horatius @Zyppora • 6 december 2022 10:28

Dat is compleet niet mijn punt, als ze er mee adverteren dan is dat natuurlijk fout. Mijn punt was dat ze dan deze feature boven dat verkooppunt stellen wat ik ook letterlijk zei, dus het een of het andere. Niet van beide walletjes eten.
Dat is een gang van normale zaken

[Reactie gewijzigd door Horatius op 22 juli 2024 22:05]

MrBreaker 6 december 2022 09:33

Het is toch iets genuanceerder zie o.a. (Video The Hookup) hierin wordt heel goed uitgelegd waarom de situatie is zoals die is, had Eufy dit anders moeten communiceren? Dat denk ik wel.

Cyb @MrBreaker • 6 december 2022 10:34

Die Youtuber maakt diverse fouten, waaronder de aanname dat dan alleen portforwarding een oplossing zou zijn. Zie mijn uitgebreide reactie in: https://gathering.tweaker...message/73671746#73671746

kodak

Privacy

6 december 2022 09:06

Als je eerst je klanten via advertenties wijs maakt data volledig lokaal staat en dan plots gaat melden dat het niet zo is, dan klinkt dat als oneerlijke handel en regelrechte oplichting.

Dat ze het nu wel melden is niet genoeg. Ze horen het hoe dan ook niet te doen of plotseling toch te doen, als ze klanten dit verkocht hebben als alleen lokale opslag. Dan geef je op zijn minst je klanten een keuze of ze dit willen om het dan pas wel te doen.

Budha @kodak • 6 december 2022 10:45

De data wordt toch ook lokaal opgeslagen?

Daarnaast wordt er een klein beetje data OOK in een cloud cache opgeslagen wanneer de gebruiker ervoor kiest om afbeeldingen bij notificaties te krijgen.

Cyb @Budha • 6 december 2022 10:57

De grote vraag is of het OOK gebeurt als de gebruiker kiest voor alleen tekstuele notificaties. Dat is iets wat nog onbekend is, en onderzocht moet worden. Als je immers een app verandert, betekent het niet automatisch dat het upload gedrag van de camera verandert.

Budha @Cyb • 6 december 2022 11:06

Fair, maar het verandert niets aan de claims van Eufy zover ik ze heb begrepen:

Data wordt lokaal opgeslagen
Geen abonnementsgeld voor cloudopslag

Bor Coördinator Frontpage Admins / FP Powermod @Budha • 6 december 2022 11:38

Een thumbnail is ook data. Die claim klopt dus niet.

Budha @Bor • 6 december 2022 12:19

Vind je het verwijtbaar dat ze thumbnails op een CDN cachen (zoals vereist door push notification services van Apple en Google) en niet lokaal?

Want hoewel men lijkt te denken dat ze data alleen lokaal opslaan, is dat niet wat ze zeggen. Hun USP is dat hun klanten niet voor cloudopslag hoeven te betalen, omdat de data lokaal wordt opgeslagen.

Edit: In hun privacy policy staat het wel letterlijk zo.

[Reactie gewijzigd door Budha op 22 juli 2024 22:05]

kodak

Privacy

@Budha • 6 december 2022 13:06

Dat kleine beetje in de cloud is het omgekeerde van wat werd geadverteerd (alleen lokaal, dus niets in de cloud) en niet wat verkocht is.

Budha @kodak • 6 december 2022 13:22

Je hebt gelijk, @Bor wees mij op de privacy policy waar het letterlijk in staat. Dat had daar niet zo moeten staan en is dus een fuck up van de marketing afdeling.

Dat gezegd hebbende vind ik het een storm in een glas water. Het gaat om een snapshot die maar tijdelijk beschikbaar is en realistisch bekeken niemand ooit gaat zien. Bovendien is het functioneel, want het stelt je in staat op direct te zien wie er voor de deur staat wanneer je een melding ontvangt.

Verder blijft het een van de weinige deurbelcamera's die kan concurreren met de marktleiders zonder abonnementskosten of andere investeringen. Het moet beter, dus kritiek is gezond, maar laten we niet overdrijven.

kodak

Privacy

@Budha • 6 december 2022 14:22

Het is alleen een storm in een glas water te noemen als je weinig op hebt met eerlijke handel en privacy. Kopers nemen op basis van wat de fabrikant/verkoper stelt wel/niet te doen beslissingen met hun en andermans persoonsgegevens. Dat is niet zomaar even zonder risico of acceptabel omdat er volgens iemand vast wel uitzonderingen vallen te bedenken wanneer het misschien wel een beetje mee zou kunnen vallen. Want dat blijkt uit niets. Er blijkt eerder dat ze vooral uit eigen belang het omgekeerde doen van wat ze als belang verkocht hebben en na betrapt te zijn nog steeds doen.

Als je als fabrikant en verkoper het omgekeerde doet van wat je stelt te (zullen) doen dan is er geen overdrijven bij om ze ter verantwoording te roepen. Juist ook omdat ze zich als alternatief probeerde te verkopen is het geen overdrijven daar bij dit soort oneerlijkheid in te grijpen.

LANterfantje 6 december 2022 09:08

Pittige situatie, sinds kort een Eufy deurbel aangeschaft, en een week later kregen we dit soort nieuws.
Nou ben ik ook weer niet de moeilijkste, maar ik hoop dat ze wel extra duidelijkheid geven over wat er ook/niet op de Cloud wordt geregeld.
Verwarring zaaien op klanten die veiligheid zoeken is namelijk geen goede zet.

Ja, ze hebben de marketing slogan dat ze niets op de Cloud doen, maar het gaat er mij meer op wat ze met de Cloud doen als dat wel gebeurt.

Budha @LANterfantje • 6 december 2022 11:07

De marketingslogan is dat jij niet betaalt voor cloudopslag.

Bor Coördinator Frontpage Admins / FP Powermod @Budha • 6 december 2022 12:28

Letterlijk van Eufy zelf: uit Eufy's "pricacy promises"

Local Storage

For Your Eyes Only

Home is where your data belongs. With secure local storage, your private data never leaves the safety of your home, and is accessible by you alone.

Meer interessant leesvoer; Anker’s Eufy lied to us about the security of its security cameras

[Reactie gewijzigd door Bor op 22 juli 2024 22:05]

Budha @Bor • 6 december 2022 12:42

Zo stellig stond het niet op de verpakking toen ik het kocht, maar dat is inderdaad een claim die ze niet volledig kunnen waarmaken.

Al vind ik het feit dat ze een snapshot op een CDN cachen niet heel boeiend, maar daar zouden ze dan wel wat beter over moeten communiceren. Fuck up van de marketing afdeling.

Desondanks ben ik nog steeds blij dat er een deurbelcamera is waar ik geen abonnement of verdere investeringen voor nodig heb om het te kunnen gebruiken. Daar zijn er niet veel van.

Bor Coördinator Frontpage Admins / FP Powermod @Budha • 6 december 2022 11:42

Nee, de slogan is momenteel letterlijk "local storage, no monthly fee". Daar staat toch echt "local storage". Als ik terugzoek was het "all your data is stored locally". "Home is where your data belongs."

[Reactie gewijzigd door Bor op 22 juli 2024 22:05]

Budha @Bor • 6 december 2022 12:19

En daar staat de data toch ook, op de Homebase?

Bor Coördinator Frontpage Admins / FP Powermod @Budha • 6 december 2022 12:25

Hij staat er ook maar niet exclusief en dat is wel wat Eufy doet geloven. Dat klopt niet. Sterker nog, de informatie wordt zonder encryptie doorgegeven: Eufy’s “local storage” cameras can be streamed from anywhere, unencrypted

Budha @Bor • 6 december 2022 12:37

Ik heb de verpakking er nog eens bij gepakt en hoewel ze nergens beweren dat je data uitsluitend lokaal wordt bewaard impliceren ze wel dat je data veilig is omdat het lokaal wordt opgeslagen.

Het verhaal over het ongeautoriseerd kunnen benaderen van streams heeft niks te maken met cloudopslag. Echter, als dit blijkt te kloppen dan is dat wel heel ernstig natuurlijk. Voorlopig heb ik alleen nog gezien dat iemand van The Verge het iemand anders heeft zien doen. Totdat hier een bevestiging van komt neem ik die berichtgeving met een korrel zout.

Edit: Blijkbaar staat het wel zo in de privacy policy. Inderdaad dus een onterechte claim.

[Reactie gewijzigd door Budha op 22 juli 2024 22:05]

Roko 6 december 2022 08:39

Het wordt inderdaad duidelijk in de app weergegeven bij de opties voor de notificatie meldingen, ook als je gebruikt maakt van Homekit

Sorcerer8472 6 december 2022 09:53

Security through obscurity URL's zijn in strijd met AVG/GDPR, zeker als het blijkbaar zo eenvoudig te sniffen / bepalen is. Vrij ernstig eigenlijk en zeker een boete waard van AP.

Kodess @Sorcerer8472 • 6 december 2022 13:49

Ben hier wel in geinteresseerd. Wat is hiervan de reden? Een sessionID als je ingelogd bent in tweakers is bv een karakterreeks van iets meer dan 30 tekens. Maar als ik een URL via HTTPS probeer te bereiken met een random key van 120 karakters is dat niet meer secure?

Sniffen / niet random niet meegerekend uiteraard

vanpeers 6 december 2022 10:21

Hoop dat de EU voor "smart devices" ook wat strengere regels gaat opleggen.
Dat er bv verplicht een bepaalde standaard wordt opgelegd voor opslaan van gegevens, beelden,... en dat deze niet unencrypted mogen doorgestuurd naar de cloud of opgeslagen worden in de cloud.
Het is de afgelopen jaren zéér duidelijk geworden dat veel van deze "slimme" apparaten gewoon onbeveiligd of slecht beveiligd zijn en soms zelfs gewoon zonder login te bereiken zijn voor het volledige internet.
Zie bv: http://www.insecam.org/en/byrating/

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (240)

Sorteer op:

Weergave: