Eufy erkent dat niet alle camerastreams versleuteld waren en belooft beterschap

Anker-merk eufy erkent dat streams van eufy-camera's naar eufy's Web portal niet eind-tot-eind-versleuteld waren, ook al claimde het bedrijf maanden geleden nog van wel. Inmiddels zijn deze streams volgens het bedrijf wel versleuteld.

Eind vorig jaar bleek de livestream van een eufy-camera naar de Web portal, waarmee de streams via de webbrowser te bekijken zijn, niet versleuteld te zijn. Gebruikers konden daardoor de link naar een camera openen in bijvoorbeeld VLC. Eufy's-moederbedrijf Anker zei destijds tegen The Verge dat dit niet mogelijk was.

In een nieuw statement aan hetzelfde medium erkent eufy dat die streams toch niet versleuteld waren. De streams naar de Security App waren wel altijd versleuteld, maar die voor de Web portal waren dit niet. Die Web portal is via de browser te benaderen en vereist een login.

Eufy zegt dat deze Web portal-streams niet versleuteld waren, omdat de livestreams pas later aan Web portal werden toegevoegd nadat gebruikers hierom vroegen. Aanvankelijk was dit portaal alleen bedoeld om cloudopslag en abonnementen in te zien. Dit portaal was dan ook niet ontwikkeld voor eind-tot-eind-versleuteling, aldus Ankers communicatiehoofd Eric Villines. Villines erkent dat dit een fout was en zegt dat alle streams nu eind-tot-eind-versleuteld zijn. Apparaten gaan daarnaast WebRTC gebruiken voor deze versleuteling; de HomeBase 3 en eufyCam 3 doen dit al.

Het bedrijf gaat ook in op de Video Doorbell Dual, dat camerathumbnails opsloeg in eufy's cloudopslag. Ook hiermee verbrak eufy zijn eigen beloftes, omdat het bedrijf beloofde dat gebruikers ervoor konden kiezen om data alleen lokaal op te slaan. De Video Doorbell Dual sloeg thumbnails echter ook in de cloud op, ook als gebruikers ervoor hadden gekozen om video's alleen lokaal op te slaan.

Anker claimt dat dit voor de gezichtsherkenning gebeurde. Het idee was dat als gebruikers die cameradeurbel zouden vervangen, eufy die thumbnails kon gebruiken om de gezichtsherkenning opnieuw te kunnen instellen. Eufy erkent dat deze functie tegen de 'lokale opslagbelofte' inging en deze functie is daarom verwijderd. Anker benadrukt dat gezichtsherkenningsdata niet met die thumbnails werd opgeslagen.

In reactie op deze twee voorvallen, kondigt eufy meerdere nieuwe maatregelen aan. Zo wil het bedrijf nieuwe beveiligingsconsultants inhuren en wil eufy meer doen met certificeringen en pentesten. Daarnaast wil het merk een onafhankelijk rapport laten uitvoeren door een beveiligingsbedrijf en moet er een bugbountyprogramma komen. Eufy belooft verder een site te maken waarmee het bedrijf beter wil uitleggen welke data waar wordt opgeslagen en wil het bedrijf beter communiceren met de community en de media.

Door Hayte Hugo

Redacteur

01-02-2023 • 08:32

103 Linkedin

Submitter: tjorni

Reacties (103)

103
103
36
1
0
50
Wijzig sortering
Lijkt me dat het inmiddels toch echt wel te laat is. Er waren namelijk meerdere problemen;
- Streams waren niet versleuteld, konden op afstand worden aangeroepen zonder authenticatie(!)
- Meerdere hoge resolutie foto's gingen naar de cloud
- Slap excuus 'is nodig voor notificaties' terwijl dat niet waar is (kan lokaal, en anders met een lage resolutie snapshot)
- Data werd niet verwijderd bij verwijderen vanuit de interface
- Camera ontkoppelen en aan nieuw account koppelen herstelde data van de camera in je nieuwe account

En dat zijn dan nog maar de hoogtepunten.

Ik heb ze zelf nog hangen omdat ik geen betaalbare vervanging voor de 2K Wifi camera's heb kunnen vinden, maar zo gauw ik die wel vind gaat alles van Eufy eruit.
Dus je vind het niet fraai, maar je wil er ook niet meer voor betalen.
Die blijft dus gewoon Eufy gebruiken omdat het goede waar is voor je geld. En ja, met wat verbeterpunten die ze zo te lezen goed oppakken.
Die verbeterpunten zijn helemaal niet goed opgepakt. Er werd ontkend, gebagatelliseerd, slecht gereageerd en ga maar door.

Dit is ook niet de eerste keer dat men in opspraak komt. Dit terwijl het een productlijn betreft waar het in grote mate om vertrouwen draait. Een paar voorbeelden:

nieuws: Eufy-gebruikers kunnen camerabeelden van andere gebruikers inzien doo...

Owners Move To Ditch High Risk Eufy Security Cameras, Distributor Fails To Say Where Servers Are Located

Anker Eufy smart home hubs exposed to RCE attacks by critical flaw

Van Eufy zelf: uit Eufy's "pricacy promises"
Local Storage

For Your Eyes Only

Home is where your data belongs. With secure local storage, your private data never leaves the safety of your home, and is accessible by you alone.
Meer leesvoer; Anker’s Eufy lied to us about the security of its security cameras

[Reactie gewijzigd door Bor op 1 februari 2023 08:57]

En op geen enkel moment excuses maken, smoesjes ophangen.... het is echt te triest voor woorden hoe de communicatie afdeling daar heeft gereageerd op de keiharde feiten.
Ik vind het zelf toch wel bijzonder dat tech savy mensen dit reviewen, notificaties met thumbnails in de app krijgen en zich dan niet afvragen hoe dat daar terecht is gekomen zonder een port forwarding oid.
De enige reden dat ik zelf Eufy blijf gebruiken is omdat ik op het moment niet het budget heb om naar betere/duurdere camera's over te stappen. Een beetje nette PoE camera is gauw 200 euro, daarvoor heb je 4 wifi camera's van Eufy.
Foscam maakt aardige camera's voor een beperkt budget die een redelijk fatsoenlijk offline platform hebben. Mijn foscam 2k cam is helemaal ontkoppeld van het internet. Streams gaan naar de NAS, en zijn vanuit daar zichtbaar via Home Assistant. Het is misschien iets meer werk om zelf op te zetten, maar geeft uiteindelijk evenveel of misschien wel meer vrijheid zonder dat het in de cloud hoeft.
Maar dan heb je door die inrichtingskeuze wel afscheid genomen van de terugpraatfunctie via de app, kennelijk? Dat is een aardige reden voor menigeen om aan zo'n slimme deurbel te beginnen.
Je kunt kijken naar Reolink. Die camera's zijn helemaal niet zo duur, en hun dag kwaliteit is top notch.
Nacht hebben ze iets meer moeite mee. Maar als de plek een beetje verlicht is is dat geen probleem.
Je bent niet de eerste die nu met Reolink komt, maar dat is ook een Chinees merk. Wie zegt dat die niet precies hetzelfde doen als Dahua?
Reolink kan ik volledig afschermen van het internet. En alleen vanaf mijn eigen netwerk benaderen.
Ik weet niet of dit met Dahua wel kan?

Vanaf mijn eigen netwerk betekend dus ook dat ik met een vpn naar huis er bij kan.

[Reactie gewijzigd door reefclaw op 1 februari 2023 10:29]

Dahua kan dat ja, en Dahua camera's zijn iets hogere kwaliteit dan die van Reolink (alleen ook weer duurder).

Ik kan met mijn Dahua camera in het donker (met alleen 'lichtvervuiling' op straat) het nummerbord van mijn auto lezen terwijl de camera in dagmodus staat, en in nachtmodus zie ik helemaal alles. Alleen Dahua moet je aan 200+ euro per camera denken als je gewoon een fatsoenlijke PoE camera zoekt.
Dit was voor mij een goede resource en een van de redenen om voor Reolink te gaan:
https://www.youtube.com/watch?v=XXoTH1-78iA

Dahua is overigens ook Chinees ;).
Dat is zeker waar, Dahua is ook Chinees, maar dat is minder relevant als je ze volledig offline gebruikt. Als dat bij Eufy mogelijk was geweest dan was dat ook een oplossing in dit geval, maar Eufy's RTSP stream is veel minder stabiel dan de stream via hun eigen app.

Dus het ligt er helemaal aan wat je zoekt. Ik ben zelf voornemens om al mijn Eufy camera's te vervangen door PoE camera's, dan kom je al snel in de 100-200 euro per camera en dan pak ik liever Dahua dan Reolink (want dat filmpje dat jij deelt bevestigt ook alleen maar meer dat de kwaliteit van Dahua wel hoger is). Voor een enkele camera gaat PoE niet mogelijk zijn, dus dat wordt een WiFi camera, misschien dat daar Reolink weer wel interessant is.

Daarnaast vind ik ook 4K camera's niet interessant, die hebben nog te veel nadelen (vaak een te kleine sensor om genoeg licht op te vangen in nachtmodus, waardoor je uitgesmeerde bewegende beelden krijgt zoals dat filmpje ook laat zien en waardoor je camera makkelijk te verblinden is) en weinig voordelen (hoge kwaliteit sensor is veel belangrijker dan hoge resolutie output), dus 2K is wat mij betreft wel de max.

Ik zou vooral wel eens een breakdown willen zien van de bekende merken, hun verschillende productlijnen, of en welke app er bij zit en of ze ook een directe RTSP stream toestaan of (zoals bij o.a. Eufy en TP-Link's Tapo lijn) deze significant minder is dan in de app.
Niet twijfelen aan Dahua - zeer performante cameras! En idd mogelijk om volledig los vh internet te gebruiken.
Niet twijfelen aan Dahua - zeer performante cameras! En idd mogelijk om volledig los vh internet te gebruiken.
Ik zou zeggen, alleen maar volledig los van het internet gebruiken. Zoek maar eens op "Dahua backdoor".
Mij iets teveel issues met de beveiliging van dergelijke camera's. Net als hikvision. (ook deze levert interessante hits op als je zoekt op "backdoor")
Klopt, ik ken echter geen andere merken die dezelfde video kwaliteit kunnen aanbieden, zonder aangehaalde backdoors.
Backdoors zouden wel handig zijn voor HikVision. Mijn deurbel is zelfs zo nu en dan niet vanuit huis bereikbaar (random offline). Camera is prima, maar de software is wel erg gedateerd / amateuristisch...
... dat is minder relevant als je ze volledig offline gebruikt.
Dat geldt dan toch ook voor Reolink? Ook die kun je offline gebruiken.

Overigens heeft dezelfde reviewer een test van deurbellen gedaan en daarin scoort Reolink weer beter dan Dahua: https://www.youtube.com/watch?v=6XCu6L0xn4Y
Ik denk dat het dus sterk van je use case afhangt wat de beste optie is.
Die video had ik dus eerder moeten zien. Ik dacht met Eufy iets fijns in huis te halen, maar werkt inderdaad enkel met een cloud-account en kan geen RTSP aanbieden, dus integratie in Home Assistant is een ramp.
Of EZVIZ werkt ook top en heel betaalbaar.
Dat is toch vaak het geval. De enige reden dat ik een Opel Astra station rij is omdat een dikke BMW suv buiten budget lag. De enige reden dat ik vrijstaand geschakel woon is omdat een vrijstaand huis met een lap grond en wat bijgebouwen aan de rand van een leuk dorpje niet betaalbaar was.

Men koopt waar budget voor is, en Eufy biedt nou eenmaal ontzettend veel waar voor het geld.
Je rijdt een Opel Astra en dat is op zichzelf een prima auto. Je verwacht de kwaliteit die bij deze prijsklasse past. Als Opel je nou zou beloven (zwart op wit) dat er een DAB+ radio in zit en er zit een gewone FM radio in, dan kun je daar boos om worden of stellen dat het in jouw situatie niet zo boeiend is en je toch vooral niet te veel mag verwachten van deze prijsklasse. Er zijn dus ook Eufy bezitters die het allemaal niet zo boeiend vinden want 'if you pay peanuts, you get monkeys' achtige instelling en er zijn mensen die toch wel waarde hechten aan hetgeen wat was beloofd.
............ Als Opel je nou zou beloven (zwart op wit) dat er een DAB+ radio in zit en er zit een gewone FM radio in, dan kun je daar boos om worden of stellen dat het in jouw situatie niet zo boeiend is en je toch vooral niet te veel mag verwachten van deze prijsklasse. Er zijn dus ook Eufy bezitters die het allemaal niet zo boeiend vinden want 'if you pay peanuts, you get monkeys' achtige instelling en er zijn mensen die toch wel waarde hechten aan hetgeen wat was beloofd.
Bij Opel heet die misleiding de dienst "\on Star". Voor noodoproepen, assistentie en internet connectie in je auto. Dus inderdaad blijkt de vergelijking van Eufy met Opel verbazend goed te passen ;)

[Reactie gewijzigd door ucsdcom op 1 februari 2023 13:53]

Mijn Eufy deurbel en camera doen precies wat ik er van verwacht had toen ik ze kocht. Net zoals mijn Opeltje, alhoewel die, onder garantie, wel 2 keer terug moest naar de garage.

Dat er drie uur lang een bug was waardoor anderen wellicht preview snapshots hebben kunnen bekijken van mijn deurbel. Ach ja, dat boeit me idd niet, zeker niet omdat het in 3 uur gerepareerd was.
Toch een kleine kanttekening vwb de Eufy deurbel doet wat hij moet doen. Eufy heeft wel aangegeven dat er een koppeling met Apple HomeKit zou komen. Ruim anderhalf jaar verder is die er nog steeds niet.
Dat is vervelend voor de mensen die daarop zitten te wachten. Niet netjes. Zelf maak ik daar echter geen gebruik van.
Goed nieuws, voor € 115 lukt het nu ook :)
https://m.reolink.com/product/reolink-video-doorbell/
Heb afgelopen weekend de Eufy bij een familielid vervangen door deze (de microfoon van de Eufy was stuk, moest door een drukke omgeving relatief vaak opgeladen worden en de bewegingsdetectie was niet altijd top).

De app van Eufy werkt wel beter als je een melding van beweging krijgt, bij Reolink spring je dan vaak naar het begin van het 5 min-blok waarbinnen de beweging is geconstateerd. Soms gaat het wel goed dus misschien is het een instelling, maar daar ben ik nog niet achter.

Hij is wel slecht verkrijgbaar, ik had 'm bij Amazon besteld maar daar zijn ze nu op. Nog wel rechtstreeks bij Reolink te krijgen zo te zien.

[Reactie gewijzigd door PatMan op 1 februari 2023 09:43]

Reolink is ook een Chinees merk, waarom zouden die betrouwbaarder zijn dan Eufy?

Ik heb als deurbel een bedrade Ring, ben ik wel tevreden mee, maar de camera's van Ring vind ik dan weer duur (en twijfelachtig want Amazon kijkt mee)
Eufy is ook een Chinees merk.
Dat is ook wat hij bedoeld, ze zijn allebei chinees dus waarom zou Reolink betrouwbaarder zijn.
Reolink cameras zijn gewoon direct lokaal te benaderen zonder tussenlaag. Met een simpele firewall regel kan je deze dus gewoon goed inperken zonder functionaliteiten te verliezen.
Dat zag ik verder ook staan. Nou kan een Tweaker dat wel doen, maar anderen misschien niet. Het is natuurlijk wel een pluspunt dat het kan.
als je ubiquiti unifi apparatuur hebt kan je wellicht naar de protect lijn kijken. De prijs is uiteraard wel hoger dan eufy maar ik vermoed dat het iets beter beveiligd is ;)
Blijven gebruiken waar je al voor betaald hebt is iets anders dan in de toekomst weer voor het zelfde kiezen. Je kan je geld maar 1 keer uitgeven toch?
Ik ben (net als vele anderen) voor Eufy gegaan omdat ze een van de weinige partijen zijn met stabiele wifi camera's in het budgetsegment. Voor een paar tientjes een camera die gewoon een nette full-HD stream uitpompt, en dan ook nog eens een waarvan de app voldoet aan de verwachtingen vwb gebruikerservaring in de app (dus geen rare half vertaalde Chinese app, maar gewoon eentje die werkt).
Andere camera's die ik heb geprobeerd (zoals die van TP-Link) hebben allemaal hele slechte wifi ontvangers, en niet alle plekken waar je een camera hangt hebben perfect bereik.
Nu blijkt alleen dat die gebruikservaring niks zegt over de onderliggende veiligheid, en dat de marketing gewoon keihard gelogen was. Dat is jammer.

Uiteindelijk zijn dit camera's die, omdat ze wifi zijn, expliciet niet geschikt zijn als beveiligingscamera maar alleen om gewoon een beetje te zien wat er gaande is. Wij hebben er een in de garage en een in de achtertuin, bijvoorbeeld, maar aan de voorzijde van het huis hangt gewoon zoals het hoort een bedrade camera. Maar ondanks dat er minder afhangt van het werken van zo'n camera heeft Eufy het altijd prima gedaan, alleen jammer dat dus iedereen mee kan kijken terwijl ik in m'n onderbroek in de garage de wasmachine sta uit te laden :+
[...] maar aan de voorzijde van het huis hangt gewoon zoals het hoort een bedrade camera. [...]
Neem aan dat dit ook in een apart VLAN zit? Anders heb je daar een mooi draadje hangen om de rest van je netwerk binnen te komen, al dan niet via exploits die mogelijk zijn op de camera.
Die camera heeft geen toegang tot het internet
Die camera heeft geen toegang tot het internet
Dat was ook niet mijn punt.
Sommige camera's die zowel WiFi als LAN ondersteunen zijn ook via WiFi te benaderen via het AP wat ze starten.
En anders heb je een mooi kabeltje hangen wat toegang biedt tot achter je router/firewall.
Geen idee hoe jouw situatie is, maar ik heb gekke dingen gezien waarbij een los netwerkkabeltje naar buiten voor anderen een mooie aangelegenheid was om goedkoop aan internet te komen. Laat staan wat ze nog meer uit kunnen halen op jouw netwerk.
Het is een PoE camera zonder wifi, dus daar heb ik gelukkig geen last van :)

De camera hangt boven de garagedeur aan het einde van de oprit, er is een halve centimeter speling qua kabellengte. Mocht iemand toevallig het juiste torx bitje (met holte in het midden) bij zich hebben en daar een apparaat aan weten te hangen dan hebben ze het bijna verdiend, maar de router waar die camera op zit heeft een MAC filter voor vaste verbindingen dus dan moeten ze die ook eerst spoofen..

Het is niet onmogelijk, maar ik heb toch wel het gevoel dat ik me redelijk heb ingedekt in dit geval.
En dan te bedenken dat er hele platforms zijn waarop je geld kunt verdienen door in je onderbroek voor een camera langs te lopen. Je kunt het nuttige en het aangename wel verenigen op deze manier!
Inderdaad, wie heeft er AI nodig wanneer er continu honderden mensen de stream aan het analyseren zijn?
De gemiddelde consument dus
Want als iets veel kost kan je een goed versleuteld product verwachten en als iets goedkoop is dan mag je onversleutelde zooi verwachten?
Dat is een valide reden
Nou, Eufy is ook niet goedkoop. Daarnaast, de belofte was dat alles lokaal zou zijn, daarom heeft @Oon waarschijnlijk de keuze gemaakt. En dat is volgens mij het probleem, niet voor een dubbeltje op de eerste rang willen zitten.

Kijk, als er 4x zo dure alternatieven zijn die het bieden zonder goedkopere concurenten, dan is dat iets waar mensen aan moeten wennen. Want er was een betaalbaar alternatief van Eufy. (misschien is die er weer, maar de schade is al aangericht qua reputatie)
Hoe goed is dat tov offline cameras?

Ik ben nu mijn huis compleet aan het renoveren dus
Dak (isoleren, nieuwe dakpannen) - later zonnenpanelen
Gevel nieuwe isolering
Ramen/venster - schuco profielen etc
kelder compleet
drainage

daar hoort ook wat netwerk, electro dingen bij, waaronder cameras.
Ik heb een voorbereiding van cat7 kabels gemaakt voor 4 cameras over PoE, die op een receiver komen aangesloten of als ik het goed beveilig op mijn DS1525+ via de extra 2 licenties voor cameras.
Dit is dus ook compleet niet in de cloud, etc

wat voor profijt heb je bij dit soort systemen wat jij in huis hebt?

[Reactie gewijzigd door theduke1989 op 1 februari 2023 09:20]

Ik heb zelf een hele nette Dahua camera die volledig offline draait, en ik kan je zeggen dat er geen enkele wifi camera op de markt is die hier bij in de buurt komt.

Maar het is wel fijn dat je gewoon vanaf je telefoon, ook wanneer je niet thuis bent, even kan kijken of de was nog buiten hangt en of je pakketje door DHL in de garage is gezet.

Nou ben ik ondertussen ook bezig om thuis een VPN op te zetten en mijn telefoon daar permanent mee te verbinden, dus dat is binnenkort überhaupt niet meer relevant voor mij, maar voor veel mensen wel.

Als je het geld hebt voor fatsoenlijke camera's is jouw oplossing beter en win je er niks mee om voor low-budget wifi camera's te gaan.

Ik zou je alleen wel aanraden om niet voor die twee extra licenties te gaan maar eerst even te kijken naar Shinobi of andere software NVR oplossingen. Vroeger kon je er bijna niet omheen, maar tegenwoordig zijn er een aantal hele goede open source tools die je gratis kunt gebruiken.
Goed, ik ben dan sowieso iemand die op een vaste plek dit heeft staan dan.

Qua mobiele app, de cameras komen uit china helaas, en hebben ook gewoon een app.
Maar het liefst wil ik die niet draaien, je weet maar nooit waar alle data naar toe gestuurd wordt.
Dus dat moet ik nog even bekijken. is van het merk Reolink.
De camera die ik van Dahua heb heeft niet echt een app, ik kan lokaal de gDMSS app gebruiken om verbinding te maken maar dat doe ik niet. Camera is niet direct te bereiken van buiten m'n netwerk en heeft ook geen toegang tot het internet.

Lokaal gebruik ik RTSP om vanuit Shinobi met de camera te verbinden, maar hij heeft ook ONVIF waarmee je op afstand e.e.a kunt instellen.

Ik weet niet hoe het met nieuwere Dahua camera's zit, maar zolang ze RTSP ondersteunen hebben ze hooguit internet nodig om eenmalig ingesteld te worden. Daarna kun je gewoon lokaal de stream aanroepen, en met een NVR opnemen.

Reolink is overigens net zo Chinees als Dahua, maar vrijwel alle camera's gebruiken Chinese chips, en de security issues zitten vaak daarin. Genoeg whitelabel 'Europese' merken die dezelfde Chinese camera's zijn, evt. in een andere behuizing, maar waar de data dus ook via Chinese servers gaat.
Dahua? Ik ben blij dat ik daar vanaf ben. Wat een verschrikkelijk slechte software was dat. Misschien is dat nu verbeterd. De software van Eufy is echt top qua usability.
De software van Dahua is waardeloos, maar die raak ik letterlijk nooit aan. Camera draait offline, Shinobi pakt de RTSP stream op, en ik kijk mee via Shinobi. Kan dus ook via een reverse proxy Shinobi oproepen van buiten m'n netwerk.
Niet iedereen heeft overal Cat7 kabels liggen.
Wifi is absoluut minder betrouwbaar. Maar beter kunnen we als tweakers uitleggen hoe je met RTSP de betaalbare wifi camera's kan koppelen aan synology surveillance center.

En of de camera's offline local kunnen. Zodat al deze problemen geen problemen meer zijn.
Wil daarom ook graag overschakelen van Eufy naar Ubiquiti. (deurbel en meerdere camera's op de oprit/achtertuin)

Het probleem met Ubi is dat ze geen camera's op batterij hebben en dat is dan weer de kracht van Eufy...
Om dan van de eene kant naar de andere kant van het huis netwerkkabel of bedrading voor elektriciteit te voorzien is ook wel een huzarenstuk. En om het op een deftige en vooral niet zichtbare manier uit te voeren, anders is de vrouw ook niet blij :+
Ik ben juist bewust voor camera's op netstroom gegaan, heb er al een hekel aan dat ik eens in de zoveel tijd de batterijen van de rookmelders en onze radiatorknoppen moet vervangen. Maar ik snap wel dat het niet voor iedereen praktisch is.

Ubiquiti is voor mij echt ver buiten m'n budget, dat is gewoon de Apple van de netwerkapparatuur.
Bij mij gaat de enige Eufy camera die ik heb ook eruit en heb besloten om de nieuwe camera's die ik koop van een ander merk te nemen.
Verder ben ik benieuwd in hoeverre deze zaak aangekaart kan worden bij de consumentenorganisaties zoals ACM, want we zijn als consumenten uiteindelijk op het verkeerde been gezet.
Ook die merken hebben vergelijkbare euvels. Ik ben erg tevreden met Eufy. Als je 100% veiligheid wenst, moet je een recorder met wired interface aanschaffen.

Des al niet te min verwacht ik dat Eufy eventuele issues gewoon oplost. Het is namelijk in eigen belang.
Je bent slachtoffer van het problematische succes van het Chinese Eufy beleid. Door hun apparatuur te blijven kopen en gebruiken draag je bij aan de massa-surveillance droom van de communistische partij van China. Er is een rede dat hun apparatuur zo goedkoop is. Denk ik dan hoor haha, maar met alle data dat niet versleuteld is acht ik de kans zeer plausibel dat dit wel degelijk op zo'n manier speelt.
zonder authenticatie
Je moest dan toch écht wel de unieke hash van de desbetreffende camera weten. Dat is bij voorbaat een onmogelijk opgave en om dat doelgericht te doen, lijkt me ondoenlijk. In mijn geval is het een voordeel, want zo kon ik de camera streams via een externe applicatie binnenhalen en bekijken.
Dat verhaal over de streams die zonder authenticatie beschikbaar waren is wel iets complexer dan dat het lijkt. Ja, iedereen met de URL kon de stream openen, maar die URL was wel dermate lang dat je hem niet kon raden.

Of je je user token nou in de URL of in de cookies stopt maakt qua veiligheid niet zo uit. Zolang die URL maar lastig genoeg te gokken is, is dat niet zo'n probleem. Amazon heeft van dit idee een feature gemaakt onder de naam "signed URLs".

Ik snap dat de meeste consumenten het hardst zullen schrikken van "iedereen kan zo meekijken!!!" en dat het nieuws dit volop naar voren bracht, maar dat is niet wat er in de praktijk gebeurde. Je moest nog steeds die links uit het control panel of de app halen.

De rest van hun leugens en misleiding vind ik een stuk erger. "Alleen lokaal" beloven en cloud doen is een doodzonde als beveiligingsbedrijf. Er zijn een hele hoop problemen die niet-cloudoplossingen wel hebben en cloudoplossingen niet, maar verkoop het één niet als het ander en laat de consument zelf zijn afweging maken.
Er was wel wat meer aan de hand; je hoefde de link niet uit het control panel of de app te halen; hij lag redelijk voor de hand waardoor het "raden" aanzienlijk simpeler was dan nodig.
Eufy’s best practices appear to be so shoddy that bad actors might be able to figure out the address of a camera’s feed — because that address largely consists of your camera’s serial number encoded in Base64, something you can easily reverse with a simple online calculator.

The address also includes a Unix timestamp you can easily create, plus a token that Eufy’s servers don’t actually seem to be validating (we changed our token to “arbitrarypotato” and it still worked), and a four-digit random hex whose 65,536 combinations could easily be brute forced.
Dat dat token niet gevalideerd werd, wist ik niet. Dat leek er niet in te staan toen het originele artikel hierover uitkwam...

Die timestamp is zeker ook te brute forcen maar dan moet je wel de juiste timestamp zien te vinden. 65k * het aantal timestamps in een uur is toch een gigantische hoeveelheid die Eufy zou moeten kunnen blokkeren.

Zonder gigantisch botnet is het alsnog erg lastig om een stream naar keuze te openen als Eufy ook maar enige poging heeft gedaan om hun systeem te beveiligen.

Aan de andere kant, dit is ook een partij die hun tokens niet valideert, dus of ze die beveiliging nu wel hebben...
Het is goed dat ze dit gaan rechtzetten. Maar ik ga niet langs de zijlijn roepen dat Eufy hierdoor gelij gedoomd is.

Hun product lijn is simpelweg één van de beste op de markt in verhouding tot prijs, kwaliteit en services. Ik heb de Eufy dual deurbel. En Eufy is werkelijk de enige die zodra de bel gedrukt wordt ook op LTE mij in minder dan 1,5 seconde de melding geeft. Op Android vaak zelfs binnen 1 seconde. Vervolgens duurt het slechts 2,5 seconde voor ik in de app en stream zit waarmee ik kan terug praten. Ruim op tijd voor de bezorger weg gelopen is.

Ik heb de reviews rot bekeken online omdat snelheid en lokaal opslaan heel belangrijk was voor mij. Lokaal opslaan omdat het gratis is zonder abonnement dienst en snelheid omdat ik geen pakketjes wil missen. In combinatie met smart lock kan ik op afstand de deur open doen voor mijn postbode of mijn Airbnb gasten. Eufy is heerlijk en werkt ontzettend mooi. De events en alle functies in de app werken gewoon top.

Bij Google Nest of Amazon Ring betaal je je stuk om terug te kunnen kijken.

Laten we eerlijk zijn. Ruim geschat zullen 80 tot 90% van de klanten met Eufy producten geen enkel probleem hebben met het feit dat Eufy data verzameld of niet end to end versluiteld is. Ze willen gewoon een goed werkend product en hebben Eufy gekozen wegens de beveiliging thuis. En niet zo zeer de beveiliging van de thumbnail of video.

Ik heb tot de dag van vandaag nog geen betere alternatief dan Eufy gevonden al had ik wel gehoopt dat ze inmiddels over gingen stappen op Matter. Daar lopen ze wel achter in. Maar hun app is heerlijk en rap en de snelheid van de deurbel en kwaliteit is ook bizar goed.

Ik heb sinds de komst van sociale netwerken 15 jaar geleden al lang de veiligheid van mijn online data opgegeven. Ik kies nu liever voor gebruiksgemak en goed werkend producten. Privacy interesseert me tegenwoordig niks meer gezien elke app op mijn telefoon zeer waarschijnlijk data van mij opslaat. Het is een eindeloze discussie dei we nooit winnen. Probeer mij nu maar te overtuigen dat er een scenario bestaat waarin geen enkel stuk data van ons gelekt kan worden op al die platformen waar wij onze data mee delen.

Dat is gewoon onmogelijk.
Ach 99% van de consumenten weet niet eens dat dit speelt en blijft het gewoon kopen, dus Eufy maakt zich er niet zo druk om. En aan de waakbonden heb je ook niks: die zijn te druk bezig met zichzelf.
Het is ook gewoon waar je voor betaald. Eufy vraagt nou niet echt prijzen die in het hoge segment horen. Cloud diensten zijn gratis en vragen na aankoop geen cent voor iets.

Als je dit soort zaken niet wilt, moet je gewoon een product kiezen waar je maandelijks een zak geld voor neer legt. Ik bedoel uiteraard dan geen Google nest..
Dit is natuurlijk victim-blaming van de bovenste plank. Privacy hoort nu eenmaal in orde te zijn, dat is wettelijk gewoon verplicht. Het is aan Eufy hier aan te voldoen en als ze dat niet lukt voor de prijs waarmee ze hun producten aanbieden, dan moeten ze hun prijs verhogen.

Een goedkoper product geeft geen vrijbrief om je niet aan de wet te houden. Zelfs niet wanneer het product gratis is.
Daar ben ik het niet helemaal mee eens. Eufy moet zich zeker aan de regels houden, maar Nederlandse winkels hebben die troep verkocht en die zijn verantwoordelijk voor de goede werking van het product.

Ik zie in dit soort discussies vaak de consument of de fabrikant als schuldige worden aangewezen, maar de verkopers van dit spul hebben ook een hand gehad in het verhaal.

Als ik bij de Action een wekker koop die me iedere keer als ik hem aanraak een stroomstoot geeft, neem ik ook geen genoegen met een briefje van een adres in Shenzen als ik daar bij de balie over kom klagen.
Als je dit soort zaken niet wilt, moet je gewoon een product kiezen waar je maandelijks een zak geld voor neer legt.
Meer betalen geeft natuurlijk geen enkele garantie. Dat hebben we in het verleden wel gezien bij andere partijen. Elke leverancier dient zijn zaakjes goed op orde te hebben.
Bij de gemiddelde waakhond op dit gebied heb ik toch het beeld voor ogen van een schoothondje wat de hele dat aan z'n eigen achterste zit te likken.
In mijn situatie storm in een glas water dus. Streams staan achter een login-wall waarvan de gegevens bij niemand behalve bij mij (en evt. Eufy, als ze dat ook onversleuteld zouden opslaan maar zo dom zijn ze volgens mij niet) bekend zijn. Dat de thumbnails in een cloud staan is ook de minste zorg. Al met al, nog altijd weinig betere alternatieven voor het geld en vooruitgang in de toekomst.
Hoe goed is dat tov offline cameras?

Ik ben nu mijn huis compleet aan het renoveren dus
Dak (isoleren, nieuwe dakpannen) - later zonnenpanelen
Gevel nieuwe isolering
Ramen/venster - schuco profielen etc
kelder compleet
drainage

daar hoort ook wat netwerk, electro dingen bij, waaronder cameras.
Ik heb een voorbereiding van cat7 kabels gemaakt voor 4 cameras over PoE, die op een receiver komen aangesloten of als ik het goed beveilig op mijn DS1525+ via de extra 2 licenties voor cameras.
Dit is dus ook compleet niet in de cloud, etc

wat voor profijt heb je bij dit soort systemen wat jij in huis hebt?
Vooral kosten. Er zit wel een voordeel/nadeel vergelijking in natuurlijk. Mijn twee eufyCam Pro 2's voor buiten hebben een accu dus deze zal om de zoveel maanden even opgeladen moeten worden, evenals de deurbel. Je krijgt op tijd een melding dus zelfs als je druk bent kan je dit nog gerust inplannen op een handig moment voor jezelf. Alles over wifi en met een mesh netwerk heb ik prima signaal in het hele huis en de tuin waar de camera's hangen. Easy setup, geen kabels trekken, geen sleuven maken en daarna afsmeren en alles wat erbij komt maar eigenlijk plug & play. De app ondersteunt voor de camera's in huis huildetectie dus ideale babymonitor en voor de rest zie ik alles (behalve de deurbel) in Apple Home als 1 mooi overzicht.

Het is kwestie van gemak vs initiële setup moeite & kosten. Voordeel van cloud hierbij vind ik de "it just works" aanpak. Altijd een risico dat het bedrijf de stekker er uit trekt, maar dat risico neem ik maar.
Mijn twee eufyCam Pro 2's voor buiten hebben een accu dus deze zal om de zoveel maanden even opgeladen moeten worden, evenals de deurbel.
Als je de versie's hebt met accu kan je (iig voor de deurbel) een voeding bij Aliexpress vinden voor iets meer dan een tientje, werkt top. Kan je doorlussen waar vroeger je oude deurbel bedrading zat, moet je wel een stopcontact hebben ergens, anders moet je in je meterkast aan de slag met een voeding om het via de oude draden te doen..
Ik heb de kleinere versie met alleen een usb stekker, geen pinnen achterop. Dus permanent voeden wordt lastig tenzij ik beetje ruimte maak in de houder en de kabel aanpas. Maar echt last van het opladen heb ik ook weer niet. Oude huis eens in de twee maanden, nieuwe huis heeft zo'n rustig straat dat deze het nog langer meegaat.
Ter informatie voor de andere lezers: Je kunt ze ook rechtstreeks aansluiten op je electra netwerk, dan hoef je geen batterijen te vervangen. Dat doen wij al een paar jaar zo.
Moet zeggen dat ik surveillance center van Synology best wel aardig vind. Neem een paar fatsoenlijke camera's (mijn Foscam was geloof ik 60 euro) die POE ondersteunen en je hebt het netjes voor elkaar, zonder dat het naar de cloud gaat. Ik heb een firewall rule aangemaakt zodat camera's in dat VLAN niet naar buiten mogen, en ook niet naar de rest van het netwerk. Tevens heb je de garantie dat het blijft werken als de fabrikant ooit stopt met het cloud platform.
Tenzij jij een setup thuis fixed waarbij jij via een app toegang hebt tot je computer en jouw offline camera streams op je telefoon kan krijgen of zelfs terug kan kijken zal het kwa gebruiksgemak niet snel te vergelijken zijn.

De reden dat ik Eufy heb ipv Google Nest of Amazon Ring bijvoorbeeld is simpelweg omdat je gratis alles lokaal kan opslaan zonder hier een cloud abonnement voor te moeten nemen. Je kan in de app alle gebeurtenissen terug kijken en een live stream zien. Ook werkt gezichtsherkenning of sensoren goed waardoor hij alleen events laat zien waarbij een mens langs je voordeur loopt of staat. Hierdoor kan je gemakkelijk terug zien wie er had aangebeld of wie er in de buurt liep.

Ook is de kwaliteit van de Eufy camera's heel goed. 4K en ook in het donker heb je night view of HDR weergave.

Alles werkt simpel op de app, en als iemand bij mij aanbeld krijg ik direct een notificatie en kan ik terug praten via de Eufy app (Eufy deurbel). Handig voor iemand zoals mij met Airbnb gasten in combinatie met een smartlock waarmee ik mijn voordeur op afstand kan openen. Ook voor pakketjes als je niet thuis bent.

Persoonlijk kocht ik ook daarom niet de Eufy vanwege End to End encryptie. Als dat voor jou wel een issue is ben je misschien beter af met een eigen systeem offline waar je als tweaker iets voor elkaar bokst. Google, Amazon, Eufy en alle andere 3e partijen zijn hierin de laatste die je kan vertrouwen met je data. Ikzelf boeid dat helemaal niet. Ik ben online een open boek en heb daarin mijn privacy eigenlijk los gelaten. Ik gebruik social media, ik laat mijn locatie aan in apps voor gemak en ik heb een KVK ingeschreven op mijn eigen adres waarmee vrij letterlijk mijn adres vindbaar is. Ik ben dus een heel andere gebruiker dan de gemiddelde tweaker hier die zijn/haar online privacy wilt waarborgen.

Ik daarintegen wil liever mijn fysieke privacy en veiligheid waarborgen dus de camera's van Eufy zijn daarin top. Dieven blijven weg door de vele waarschuwingsborden rondom mijn huis maar zodra iemand een bepaald stuk van mijn tuin betreed filmen alle camera's en krijg ik een melding. De beelden worden direct opgeslagen maar ook een kopie komt op mijn smart devices omdat ik dat heb ingesteld. Een inbreker kan dus de beelden niet stelen zonder dat je deze nog ergens op je smart devices hebt.

Voor fysieke beveiliging is het dus top. Online privacy is iets wat je misschien bij dit merk inlevert.
In mijn situatie storm in een glas water dus. Streams staan achter een login-wall waarvan de gegevens bij niemand behalve bij mij (en evt. Eufy, als ze dat ook onversleuteld zouden opslaan maar zo dom zijn ze volgens mij niet) bekend zijn.
Waar wordt het sleutelmateriaal opgeslagen, en wie heeft toegang tot het sleutelmateriaal?
Is dat zo?

Want als ze niet encrypted verzonden worden kan iedereen dit mogelijk onderscheppen en dus zien.

De vraag is eigenlijk wat was niet versleuteld? Want juist op dat stuk is het interessant om in te haken.
Het idee achter E2EE is dat bijv. een opslagprovider (dus Eufy) de data niet kan inzien omdat deze versleuteld is en zij de sleutels niet hebben, want die heb je zelf. Als zij dan toch een onversleutelde stream kunnen uitspelen dan maakt het niet uit of deze beveiligd is met een login-wall of niet, dan betekent dat dat of Eufy de sleutels heeft of de streams nooit E2E versleuteld waren. Misschien wel normaal versleuteld, maar dat was niet de belofte. Dat is namelijk zo ongeveer elke website en webdienst tegenwoordig en biedt alleen maar veiligheid tegenover aanvallers van buitenaf, geen privacy-voordelen tegenover het hostende bedrijf, waarvan de werknemers dus kennelijk gewoon jouw streams in hadden kunnen zien.
Tja zijn het wel echt problemen ? Sommige van de punten die je opnoemt zijn gevolgen van een setting die je zelf aan of uit zet.
- Meerdere hoge resolutie foto's gingen naar de cloud
- Slap excuus 'is nodig voor notificaties' terwijl dat niet waar is (kan lokaal, en anders met een lage resolutie snapshot)
Dit gebeurd enkel wanneer je je notificaties instelt dat je ook een "preview" bij de notificatie wilt hebben van je deurbel/camera. En ook logisch als je erover nadenkt hoe de techniek van push notificaties werkt echter zolang je deze feature (preview bij notificatie) niet aan zet gebeurd er dus niks met snapshots naar de cloud.

Overigens ben ik met je eens dat dit wel explicieter vermeld had mogen worden bij het activeren van de setting, maar dit is niet de default waarde als je net de instelling doet.
- Data werd niet verwijderd bij verwijderen vanuit de interface
- Camera ontkoppelen en aan nieuw account koppelen herstelde data van de camera in je nieuwe account
Deze twee herken ik enkel niet maar dat kan ook komen door mijn devices, bedoel je hiermee als je gebruik maakt van cloud opslag of van lokale opslag ? Ik zou het namelijk logisch vinden dat mijn data niet van de een naar de andere account gaat op het moment dat je een device koppelt aan een nieuwe account. Het device kan je namelijk opnieuw koppelen of in koppel modus zetten op het moment dat je het device in handen hebt.
Pushnotificaties en eigenlijk alle andere features hoeven helemaal geen kopieën te maken naar hun server. Het is zeker makkelijker op die manier, maar het is slechts een keuze.

Van NAT hole punching tot een E2EE proxy zijn er tig manieren om beelden uit te wisselen tussen app en camera zonder dat er een server van Eufy beelden hoeft in te zien. Alleen Google en Apple, poortwachters van mobiele notificaties, hoeven een bericht te krijgen, en dat bericht kan 99% versleuteld zijn.

"Upload een JPEG en gebruik een standaardlibrary voor notificaties" is zeker de meestgebruikte manier van meldingen sturen, maar het is een keuze van de ontwikkelaars en het bedrijf om het op die manier te doen.
Veel mensen die kritiek uiten op Eufy. Het lakse gedrag staat me nog steeds tegen ondanks dat ik zelf een bel van ze heb. Ik wil graag gewoon acties zien van Eufy om te verbeteren en dat beloven ze te doen. Als ik bij alles wat een tech bedrijf moet gaan zitten zeuren over dingen die men moet verbeteren dan blijven we bezig. Eufy moet nu laten zien dat men stappen neemt.

[Reactie gewijzigd door maniace op 1 februari 2023 09:24]

Ok, ik ben blij dat dit aan het licht is gekomen, absoluut.
Aan andere kant, als je iets aan de wifi hangt dan zou je ergens een klein beetje je vestand moeten gebruiken en bedenken dat het potentieel gebreached kan worden. Ja, in een ideale wereld zou het niet moeten kunnen.
Met die gedachte, tsja de beelden van de tuin en carpoort worden niet versleuteld gestuurd. Sja, belofte "for your eyes only"is ver te zoeken maar ik lig er niet wakker van.
Ik heb 4 Eufy cams hangen en ben dus blij met alle ophef en de doorgevoerde verbeteringen. Het blijft wel wrang dat ze pas actie gingen ondernemen nadat alle tekortkomingen uitgebreid blootgelegd werden.
Dit is wel de reden dat ik een beveiligingscamera in de woonkamer nooit aan de stroom heb staan als we thuis zijn. Is toevallig ook een Eufy, maar bij elk merk kun je natuurlijk een beveiligingslek hebben. Ik heb niks te verbergen, maar als in theorie het hele internet in je huiskamer kan meekijken/luisteren vind ik toch niet zo fijn ;)

Heb de camera aan een slimme stekker hangen die ik via een ander systeem kan activeren (om bijv, tijdens afwezigheid de camera aan te zetten). Zou natuurlijk ook op ingebroken kunnen worden, maar dan moet de evt. hacker zowel op eufy als op mijn andere smarthome automation systeem kunnen inloggen. Alles kan, maar die kans lijkt me klein ;)
Mijn ervaring met Eufy is los van de privacy zaken sowieso heel slecht.
Toen de Eufy Deurbel 2k uitkwam hadden ze de belofte gemaakt voor Homekit en RTSP ondersteuning.Beide zijn ze nog steeds niet nagekomen. Er is een keer een reactie geweest waarin ze zeiden dat het te maken had met de batterijverbruik van de deurbel. Maar dit is geen excuus voor de bedrade variant.

Diverse forum topics met honderden berichten hierover zijn volledig verwijderd geworden.
Tot heden hebben ze nog geen serieuze uitspraak gedaan over de vervolgstappen hierin.

[Reactie gewijzigd door Infinito op 1 februari 2023 09:42]

Ik zou gewoon een slimme deurbel willen hebben die gewoon zelf op slaat op je eigen NAS ofzo, dan is het probleem toch gewoon opgelost ?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee