Reolink Android App kommt mit drei chinesischen Trackern
Reolink bietet Überwachungskameras für diverse Aufgaben an. Zum Zugriff auf die Kamera steht die Reolink-App für Android zur Verfügung. Die neuesten App-Versionen kommen aber mit drei chinesischen Trackern daher, die im Oktober 2024 stillschweigend integriert wurden.
Die Firma Reolink bietet ein ganzes Sammelsurium an Überwachungskameras für den Home- und Objektbereich an und ist auch in Deutschland auf dem Markt (direkt und über Plattformen wie Amazon oder Händler) vertreten.
Laut eigener Aussage ist die im Jahr 2009 gegründete Firma Reolink ein innovativer Marktführer im Bereich intelligenter visueller Technologie für das Zuhause. Laut der Webseite der Firma ist es das Unternehmensziel, die Haussicherheit durch bahnbrechende, zuverlässige und kundenorientierte Lösungen in die Zukunft zu führen.
Die Firma ist in chinesischer Hand und in Hongkong angesiedelt, wie wir dem Impressum der Webseite entnommen haben. Außerhalb Chinas tritt Reolink selbst mit einer Webseite auf, hat aber auch Distributoren, die die Produkte vertreiben. Wir haben mal auf Trustpilot geschaut, bei 2031 Bewertungen wird ein Wert von 3,2 (drei Sterne) bezüglich der Kundenzufriedenheit erreicht.
Zum Zugriff auf die Sicherheits- und Überwachungskameras bietet das Unternehmen Software und Apps an. Für Android gibt es eine Reolink-App, die über eine Million mal aus dem Google Play Store heruntergeladen wurde.
In der App-Beschreibung wird die Reolink-App als eine einfach zu bedienende "Sicherheitskamerasystem Überwachung App" angepriesen. Die App ermöglicht Nutzern lokal oder aus der Ferne einen Zugriff auf Kameras und Aufzeichnungsgeräte (NVR) mittels mobiler Geräte. Nutzer können Live-Streaming von den überwachten Objekten überall und jederzeit beobachten. Wenn wir es richtig verstehen, speichert die App die Videobilder der Kameras in der Reolink-Cloud.
Auf reddit.com gibt es seit zwei Tagen den Thread Reolink Android App now includes 3 chinese trackers, auf den wir hier mal hinweisen möchten.
Der Thread-Starter fragt sich, ob es einem der App-Nutzer aufgefallen ist, daß die seit dem 24.10.2024 ausgerollte Version 4.50.0.4 der Reolink Android App mit drei chinesischen Trackern daher kommt. Reolink habe diese stillschweigend in seine Android App integriert.
Der Thread-Ersteller verweist auf die Auswertung von Exodus, die im Code der Android-App Signaturen von folgenden Trackern gefunden haben.
Der Thread-Starter fragt auf reddit.com berechtigt, warum die Reolink Android-App auf drei chinesische Ortungsdienste zurückgreifen muss, wenn die Sicherheits- oder Überwachungskamera außerhalb Chinas betrieben wird.
Aber die Geschichte geht noch weiter, denn die App fordert von Android neu Berechtigungen an, die es ich in sich haben. Dazu gehören Berichtigungen wie READ_PHONE_STATE (Telefonstatus und Identität lesen), oder READ_PRIVILEGED_PHONE_STATE, und RECEIVE_BOOT_COMPLETED. Auch DOWNLOAD_WITHOUT_NOTIFICATION, RECORD_AUDIO oder ACCESS_FINE_LOCATION hören sich nicht wirklich harmlos an.
Die Liste der 38(!) Berechtigungen lässt sich auf der Exodus-Auswerteseite einsehen. In der Exodus-History lässt sich erkennen, daß ursprünglich nur Google Analytics als Tracker verwendet wurde und es wurden auch weniger Berechtigungen angefordert.
Warum braucht die Reolink Android-App diese Berechtigungen? Manche Berechtigungen hängen vermutlich mit App-Funktionen zusammen. So kann der App-Besitzer per Smartphone mit Door-Bell-Kameras kommunizieren und mit dem Besucher vor der Türe sprechen.
Aber der Thread-Starter fragt in uneren Augen berechtigt, ob die Reolink Android App nun nicht nur Eindringlinge an den überwachten Objekten verfolgt, sondern auch den Nutzer der App trackt.
Abseits des obigen Themas mit der Reolink Android-App lauert bei Überwachungskameras ein latentes Risiko, daß deren Bilder durch Fehlkonfigurierungen öffentlich werden. Hunderte Polizei-Kameras, die Nummernschilder erfassen, wurden durch eine Fehlkonfigurierung öffentlich ins Internet gestreamt. Ein Datenschutzforscher hat diese Datenströme in eine Echtzeit-Datenbank umgewandelt, die Fahrzeugbewegungen und -informationen aufzeichnet und damit deutlich macht, wie invasiv diese Technologie ist. Details dazu finden sich in diesem Artikel.