去年 11 月,Anker 的 Eufy 品牌登上了头条新闻,因为安全顾问 Paul Moore 发现 Eufy 安全摄像头会将数据发送到云端,即使云存储上传设置已禁用也是如此。此外,据称可以通过 VLC 等应用程序实时观看 Eufy 摄像头流,这带来了明显的安全问题。
Eufy 摄像头将内容上传到云端是有问题的,因为 Anker 长期以来一直吹嘘其 Eufy 设备的安全性,声称它们具有仅限本地存储和端到端加密功能,适合那些想要更私密的摄像头解决方案的人。在这次失败之后,The Verge开始尝试从 Anker 那里获得有关 Eufy 摄像头安全性的答案,而 Anker故意给出了含糊不清且经常误导性的答案,说明 Eufy 摄像头的工作原理。
The Verge最终通过威胁发布一篇有关该公司缺乏沟通的文章得到了Anker 的答复,这促使人们对 Eufy 的安全性做出了一些澄清。Eufy 摄像头不提供原生端到端加密,它们确实通过 Eufy 门户网站提供了未加密的视频流,不过 Anker 表示这个问题现在已经解决了。来自 Eufy 的消息:
以前,在登录 eufy.com 的安全 Web 门户后,注册用户可以进入调试模式,使用 Web 浏览器的 DevTool 找到直播流,然后播放或与其他人共享该链接,以便在我们的安全系统之外播放。但是,共享该链接是用户的选择,他们需要先登录 eufy Web 门户才能获取此链接。
今天,基于业界反馈,出于谨慎考虑,eufy Security Web 门户现在禁止用户进入调试模式,并且代码已加固和混淆。此外,视频流内容已加密,这意味着这些视频流无法再在 VLC 等第三方媒体播放器上播放。
不过,我应该指出,目前我们每天只有 0.1% 的用户使用 eufy.com 的安全 Web 门户功能。我们的大多数用户使用 eufy Security 应用程序观看直播。无论如何,我们 Web 门户的先前设计存在一些问题,这些问题现已得到解决。
今后,来自 Eufy 门户网站的视频流请求将采用端到端加密,就像 Eufy 应用程序一样,Anker 表示这是 Eufy 用户访问摄像头流的主要方式。Anker 表示,每个 Eufy 摄像头都将更新为使用默认加密的 WebRTC,并且将不再可能通过第三方应用程序播放 Eufy 视频流。
Anker 对其缺乏沟通感到遗憾,并表示未来会做得更好。该公司正在引入第三方安全公司来审核 Eufy 安全产品,并正在制定官方漏洞赏金计划。Anker 还将在 2 月份建立一个安全微型网站,并将为客户提供有关已实施更改的更多信息。
对于那些对 Eufy 言论细节感兴趣的人,The Verge公布了其与 Anker 发言人的完整电子邮件通信。