安可的“无云”安全摄像头在很多方面都可以被安全研究人员在线访问,在与批评人士争论了两个月后,安可智能家居部门Eufy给出了长篇解释,并承诺做得更好。
The Verge一再指责Eufy未能解决其安全模型的关键方面,Eufy在多次回应中明确表示,其摄像头产生的视频流可以通过Eufy门户网站访问,不加密,尽管消息和营销表明情况并非如此。Eufy还表示,它将引入渗透测试人员,委托独立的安全研究人员撰写报告,创建漏洞赏金计划,并更好地详细说明其安全协议。
在2022年11月下旬之前,Eufy在智能家居安全提供商中享有杰出的地位。对于那些愿意信任任何提供视频源和其他家庭数据的公司的人来说,Eufy将自己推销为“无云或无成本”,加密的源只流到本地存储。
然后,尤菲的第一个悲惨的启示出现了。安全顾问兼研究员保罗·摩尔(Paul Moore)在推特上询问尤菲他发现的几个差异。他的门铃摄像头拍摄的图像似乎带有面部识别数据,可以从公共url访问。激活时,似乎可以在没有VLC媒体播放器认证的情况下访问摄像机feeds(后来得到了The Verge的证实)。Eufy发表声明称,从本质上讲,它没有完全解释它是如何使用云服务器提供移动通知的,并承诺更新其语言。摩尔在推特上说与尤菲的法律团队进行了“漫长的讨论”后沉默了。
广告 芭乐app下载汅api未满入内站长统计几天后,另一名安全研究人员证实,根据Eufy用户门户网站内的URL,它可以被流式传输。url上的加密方案似乎也不够复杂;正如这位研究人员有个黄软件和抖音一样的告诉Ars的那样,强力破解只需要65535个组合,“电脑可以很快完成。”Anker后来增加了猜测URL流所需的随机字符数量,并表示它已经取消了媒体播放器播放用户流的能力,即使他们有URL。
Eufy当时向The Verge、Ars和其他出版物发表了一份声明,指出它“坚决”不同意“针对公司产品安全性的指控”。在The Verge的持续施压下,Anker发表了一份长篇声明,详细说明了其过去的错误和未来的计划。
Anker/Eufy的著名言论包括:
- 它的门户网站现在禁止用户进入“调试模式”。
- 视频流Ntent是加密的,在门户之外无法访问。
- 而“阿目前只有0.1%的每日用户访问该门户网站,它“存在一些问题”,但已经解决了。
- Eufy正在将WebRTC作为端到端加密流协议推广到其所有安全设备。
- 面部识别图像被上传到云端,以帮助用现有的图像集替换/重置/添加门铃,但已停产。发送到云端的图像中不包含任何识别数据。
- 除了“最近门户网站的问题”,所有其他视频都使用端到端加密。
- 一名“知名的安全专家”将出具一份报告尤菲的系统。
- “几家新的安全咨询、认证和渗透测试”公司将被引入进行风险评估。
- “Eufy安全赏金计划”将被建立。
- 该公司承诺“在我们的社区(以及媒体!)提供更及时的更新。”