11 月下旬,安全专家 发现 eufy 摄像机镜头可以通过 VLC 流式传输——无需身份验证。这是一个可怕的漏洞,尤其是对于一个 本应将一切都从云中分离出来的相机品牌而言。现在,eufy 没有直面这个烂摊子,而是删除了一些旧的承诺。
据 The Verge的 Sean Hollister 报道,eufy从其“隐私承诺”页面中删除了至少 10 项承诺。如承诺页面的存档版本所示,此删除发生在 12 月 8 日至 12 月 15 日之间的某个时间。
以下是 eufy 网站上删除的五个承诺:
“没有任何视频的在线链接。”
“[Y]我们录制的镜头将保密。本地存储。具有军用级加密。并传送给你,而且只传送给你。”
“有了安全的本地存储,您的私人数据永远不会离开您家中的安全区域,并且只有您一个人可以访问。”
“您需要使用 Eufy 软件和您的帐户来解密剪辑以供查看。没有其他人可以访问或读取这些数据。”
“所有录制的镜头都在设备上加密并直接发送到您的手机——只有您拥有解密和观看镜头的密钥。传输过程中的数据是加密的。”
这些现已删除的承诺解释了本地加密存储的好处。当然,它们主要以隐私为中心——您的数据不会离开您的家,其他人也看不到,等等。
当然,这些承诺都没有被证明是真的。如果您获得了 eufy 相机的序列号、UNIX 时间戳和十六进制密钥,则可以从 eufy 相机流式传输未加密的视频。该过程需要大量技术诀窍,但尽管如此,它仍然是一个可能伤害客户的关键漏洞。
我们仍然不知道 eufy 对这种情况的看法。eufy 及其母公司 Anker 的公开声明忽略或否认该漏洞的存在。我们所知道的是,在幕后,eufy 正在悄悄地从其网站上删除这些具有讽刺意味的承诺。
正如我们在 12 月 2 日所声明的,eufy 对该漏洞的回应是完全不能接受的。公司应该承认错误并为客户提供一些透明度。相反,它在过去的 15 天里一直在发脾气。
我们已经联系了 eufy,请其对这个故事发表评论。需要明确的是,我们不再建议购买 eufy 相机——不是因为漏洞,而是因为 eufy 的反应令人震惊。提及 eufy 相机的旧 Review Geek文章已被编辑以反映我们的立场。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!