Best Buy Guide/EufyCam
De slimme beveiligingscamera's en deurbellen van Eufy (onderdeel van Anker) komen met enige regelmaat voorbij in het Slack-kanaal #tips. Dat is niet zo gek, want ze zijn net als de Anker-laders scherp geprijsd en van goede kwaliteit. De Eufycam Pro 2 wordt ook al langere tijd als "Also Great" optie genoemd voor draadloze beveiligingscamera's voor buiten bij Wirecutter. De camera krijgt die nominatie onder andere omdat het de draadloze buitencamera is met de langste batterijduur, bijna op alle punten net zo goed scoort als hun "Top Pick", maar vervolgens geen cloud abonnement nodig heeft (wat bij de meeste slimme camera's tegenwoordig wel het geval is en vaak als "verborgen kosten" wordt gezien).
Toch zijn de camera's niet omstreden: sommige nerds vinden dat Eufy het voor altijd heeft verpest toen er een beveiligingsprobleem werd aangekaart en ze de problemen in eerste instantie ontkenden. Eufy's "alles wordt lokaal opgeslagen" belofte bleek niet over de optionele thumbnails voor pushmessages te gaan. Toen er vervolgens ook een ander beveiligingslek werd gevonden, ontkende Eufy het bestaan van dat probleem in eerste instantie. Beide zaken zijn ondertussen door Eufy erkend en opgelost.
Dit artikel is een overzicht van wat er gebeurt is, zodat je voor jezelf kunt beslissen of jij dat wel of geen probleem vindt als je Eufy's producten overweegt. En vooral ook om iedere keer dat de vraag opduikt of Eufy wel of geen aanrader is, in één keer het overzicht te kunnen geven, zodat we de hele discussie niet telkens weer over hoeven te doen. 😉
Voor wie zijn de Eufy Camera's bedoeld?
Met de Eufycam's met Homebase mikt Eufy op mensen die:
- De beelden liever niet in de cloud hebben staan, maar ook niet (alleen) op een SD-kaartje in de camera zelf willen hebben staan.
- Niet zelf met een NAS/NVR/HA/etc en lokale infrastructuur aan de slag willen (inrichten, onderhouden en beveiligen).
- Wel ook het gemak van cloud-gebaseerde camera's willen hebben. Denk aan een app, slimme bewegingsdetectie, pushmessages, etc.
- De camera zonder stroompunt of netwerkaansluiting gelijk willen kunnen ophangen en gebruiken.
Wat was er aan de hand?
Thumnails bleven niet lokaal
Eufy claimde dat de "beelden" (in het Engels: "footage") de homebase niet verlaten (dwz: nergens anders duurzaam worden opgeslagen). Het bedrijf doelde daarmee op de videobeelden, maar het was natuurlijk slim/verwarrend geformuleerd en geïnteresseerde kopers verwachtten dat het over alle beelden ging. Dat bleek niet de praktijk: de optionele thumbnails voor pushmessages werden wel naar de cloud gestuurd en bleven daar 24 uur beschikbaar. Dat is door de techniek achter pushmessages ook niet te voorkomen. In de app wordt dat nu vermeld als je de preview (optioneel) in de pushmessage aanzet, ook op andere plekken heeft Eufy de communicatie daarop aangepast.
Stream via het webportaal niet encrypted en slecht beveiligd
Via het webportaal kun je de de stream van je camera('s) bekijken. Daar moet je op inloggen, maar als je in de broncode vervolgens de URL van de stream opzocht, kon je die daarna ook zonder in te loggen openen in bijvoorbeeld VLC en de stream is dus bovendien niet niet end-to-end encrypted. Daarnaast was de URL volgens beveiligingsexperts (als je het format eenmaal kende) ook te brute forcen. Beide beveiligingsproblemen zijn ondertussen verholpen.
Is het nou wel of geen aanrader?
Dat moet je uiteindelijk natuurlijk zelf weten, maar hier zijn nog een paar overwegingen.
Privacy vs plug & play / gebruiksgemak
Allereerste: voor privacy is het natuurlijk het allerbeste als je de beelden alléén lokaal hebt staan. Dat kan bijvoorbeeld met een camera met SD-kaart erin, maar SD-kaartjes gaan nogal eens stuk (vraag maar eens aan Raspberry Pi gebruikers 😉). Bovendien heb je dan geen beelden meer als de camera zelf (met het kaartje erin) wordt meegenomen.
Het alternatief is dat je zelf iets inricht waardoor je de beelden zelf beheert en lokaal opslaat. Maar een NAS/NVR en bijbehorende infrastructuur optuigen, onderhouden en beveiligen is niet voor iedereen weggelegd - en zeker niet op hetzelfde niveau als professionals die de hele dag niets anders doen. Andere commerciële oplossingen die dit op vergelijkbare kant en klaar manier bieden (zoals bijv. Unifi camera's met Unifi NVR) zijn een veelvoud zo duur als de oplossing van Eufy en bovendien niet draadloos (wel voor netwerk, niet voor stroom).
Op het totale spectrum aan opties van “zelf klooien met een zelf gebouwde/beheerde oplossing” tot en met “RING [en alternatieven] waarbij alles naar de cloud gaat" (die overigens gehackt zijn en waar medewerkers mee bleken te kijken met de camera's van klanten) is Eufy dus nog steeds een goed alternatief. De producten houden een interessant balans tussen gebruiksgemak, privacy en beveiliging en bieden daarmee een middenweg die vooralsnog niet door andere producten wordt geboden. Bovendien is dankzij alles wat er gebeurt is precies bekend wat het wel en niet te bieden heeft en zijn de gevonden problemen opgelost.
"The devil you know"
Je zou dus ook goed kunnen stellen dat juist door wat er nu gebeurt is, Eufy "getest" is op een manier waarop andere fabrikanten (nog) niet zijn onderzocht. En omdat ze zo onder het vergrootglas liggen, kun je er op rekenen dat als er opnieuw iets mis is, het opnieuw groots in het nieuws gebracht wordt. De alternatieven, voor zover die er zijn, zijn bovendien niet op deze manier onderzocht en/of deden het niet beter, zoals bijvoorbeeld Wyze en Google.
Het is niet zeldzaam binnen vulnerability disclosures dat bedrijven in eerste instantie ontkennen dat er iets aan de hand is, zeker als ze er voor het eerst mee in aanraking komen. Het is daarom interessant om te zien of en hoe ze zich daarna reageren. Denk bijvoorbeeld aan de incidenten met Zoom tijdens Corona: geven ze hun fouten toe en doen ze hun best om het vertrouwen te herstellen, of blijven ze ontkennen? Lossen ze de problemen uiteindelijk op?
Het is wellicht nog te vroeg om dat definitief te bepalen voor Eufy, maar het feit dat ze hun fouten toe hebben gegeven, de problemen opgelost hebben en beloofd hebben om externe/onafhankelijke security audits te laten uitvoeren, zijn belangrijke stappen in de goede richting. Ook zijn er sindsdien geen nieuwe problemen meer aan het licht gekomen.
Conclusie?
Voor sommigen weegt het 't zwaarst dat Eufy de problemen in eerste instantie heeft proberen te ontkennen en heeft Eufy permanent een rode kaart. Voor anderen is Eufy in het licht van bovenstaande juist een duidelijke en beproefde optie - de problemen zijn immers gevonden en verholpen. Welke optie het voor jou is? Dat kun je alleen zelf bepalen, maar hopelijk heeft dit artikel daar een beetje bij geholpen. 😉