当安全研究人员发现Eufy所谓的无云摄像头正在向云服务器上传面部数据缩略图时,Eufy的回应是,这是一个误解,没有向客户披露其移动通知系统的某个方面。
现在似乎有了更多的理解,但这并不好。
Eufy没有回应安全研究员保罗·摩尔(Paul Moore)等人的其他说法,包括如果你有正确的URL,就可以从VLC Media Player中的Eufy摄像头观看视频。昨晚,The Verge与最先在推特上发布该问题的安全研究人员“Wasabi”合作,证实该病毒可以通过Eufy服务器URL访问Eufy的无加密摄像头流。
这使得Eufy的隐私承诺“永远不会安全离开你的家”,是端到端加密的,只会“直接发送到你的手机”,如果不是完全可疑的话,也是极具误导性的。这也与Anker/Eufy的一位高级公关经理对The Verge网站说的“不可能”使用像VLC这样的第三方工具观看视频相矛盾。
流氓软件游戏下载app大全下载 隐私The Verge指出了一些注意事项,类似于云托管缩略图的注意事项。首先,您通常需要用户名和密码来显示和访问流的无加密URL。“典型的”,也就是说,因为摄像头-feed URL看起来是一个相对简单的方案,包括base64中的摄像头序列号、Unix时间戳、the Verge说Eufy的服务器没有验证的令牌,以及一个四位数的十六进制值。Eufy的序列号通常为16位,但也印在一些盒子上,可以从其他地方获得。
广告我们已经联系了Eufy和Wasabi,并将更新这篇文章的任何进一步信息。最初对Eufy的云接入表示担忧的天堂岛最新版在线bt天堂研究员保罗·摩尔(Paul Moore)于11月28日在推特上表示,他“与Eufy的法律部门进行了长时间的讨论”,在他提供最新进展之前不会进一步置评。
漏洞发现在智能家居和家庭安全领域是一种常态,而不是一种例外。Ring、Nest、三星、企业会议摄像头owl——如果它有一个镜头,并且连接到Wi-Fi,你可以预料到在某个时刻会出现缺陷,并因此成为头条新闻。这些缺陷大多范围有限,对恶意实体来说很复杂,而且,通过负责任的披露和迅速的反应,最终将使设备和系统变得更强大。
在这种情况下,Eufy看起来不像典型的云安全公司,存在典型的漏洞。整整一页的隐私承诺,包括一些有效且明显不错的举措,在一周的时间内基本上已变得无关紧要。
你可能会说,任何想要得到手机摄像头事件通知的人都应该预料到一些云服务器会参与其中。你可能会相信Eufy,9612黄桃网站进入页面手机版你可以用正确的URL访问的云服务器只是流的一个路径点,这些流最终必须在账户密码锁下离开家庭网络。
但对于那些购买Eufy产品的客户来说,尤其痛苦的是,他们认为Eufy的产品可以安全地存储在本地,并且与其他基于云的公司不同,结果却看到Eufy难以向最大的科技新闻媒体之一解释自己对云的依赖。
