您的位置：找手游 > 新闻 > 娱乐八卦 > 正文

Anker旗下Eufy监控摄像头被曝存在安全漏洞

发布时间：2022-12-18 19:59:55

作者：找手游

图片12.png

在过去十年里，Anker以手机充电器业务为锚点，打造出一个覆盖多种电子产品的商业帝国，其中就包括Eufy家庭监控摄像头。Eufy的隐私承诺写道：“监控摄像头所储存的数据将留在本地，不会泄露家庭隐私，这款摄像头仅支持端到端数据传输，只会将拍摄的片段传输给您的手机。”

然而近期来自科技媒体《The Verge》的消息却显示，Eufy监控摄像机的数据可以在非加密的情况下，将录像数据发送到其他设备。该消息最早在 11 月 24 日曝出，当时一位信息安全顾问和黑客同时发声，表示 Eufy 摄像机可以在未加密的情况下向云端传输数据。只要用免费的 VLC 媒体播放器 App 创建一个独立地址，就能和 Eufy 的云端服务器连接，在播放器里看到摄像头录制的内容。

Anker旗下Eufy摄像机的部分“隐私承诺书”内容｜图片来源：TheVerge

目前外界并不清楚此次泄露所涉及的范围。Anker也没有正面回应此次传闻，面对媒体询问，公司甚至否认了这一消息。其负责人表示：“我可以保证，VLC等第三方播放器不可能观看摄像机拍到的直播画面。”

然而《TheVerge》的**在亲自实验后，已经在美国不同地区使用VLC播放器反复观看了购买的两台Eufy的录像。这证明，他人确实有方法可以在不加密的情况下，通过云端访问 Eufy。

目前还没有证据表明这一漏洞被非法分子利用。观看者依然需要用户名和密码，才能让 Eufy 开始进行非加密数据的传输。此外目前的后门仅适用于激活状态下的的摄像机，也就是只有在摄像机被按下录制按钮或监测到移动物体时，才会向云端传输未加密数据。更严重的安全隐患在于，陌生人还可以通过摄像机序列号以及Base64 编码组成的地址，轻松破解摄像机的具体地理位置。

美国私人网络安全技术公司 Mandiant 的技术专家JacobThompson表示：“这种设计非常不合理。首先摄像机的序列号无法更改，非法分子可以通过售卖或捐赠某台相机，从而窥探购买者的隐私。包括Eufy 在内的许多产品都没有对序列号加密，序列号被直接印在包装盒上。”

Mandiant 顾问 Dillion Franke 则表示，Eufy的产品序列号有16 个字符，也并没有绝对的数字规律，所以具有一定的破解难度。不过 Franke也提醒道：“我们并不知道序列号的泄露途径，也不知道Eufy是否会把序列号透露给其他用户。有时候产品API也会返回部分ID信息。”

Thompson还提出，既然已经知道了Eufy的摄像机数据并非完全加密，那么如果Eufy的服务器架构存在漏洞，黑客就可以趁机入侵，随时要求摄像机传输数据。此前曾有安全专家在Twiiter上发言，指责Eufy违反了部分隐私安全承诺，在未经用户许可的情况下将视频缩略图上传到云端，用户无法完全删除存储的私人信息。Anker只承认了缩略图的相关问题，并将其称之为一个“误会”。目前已经有用户表示，自己正在拆除家中所有的Eufy摄像机。

本文编译自Anker’s Eufy lied to us about the security of its security cameras。