(资料图片仅供参考)
长期以来,Anker 的 Eufy 子品牌是我们首选的安全摄像头推荐之一。该公司随后卷入了安全和隐私丑闻,据称可以通过未加密的网络流访问端到端加密镜头。该公司长期以来拒绝承认这个问题,甚至声称研究人员和记者显然已经取得的成就是不可能的。经过一个月的阻挠,该公司终于提供了更令人满意的答案,尽管我们仍然对相信它的话持谨慎态度。
作为上下文,安全研究员Paul Moore发现可以使用从Eufy门户网站获得的未加密链接播放来自Eufy安全摄像头的实时馈送。虽然似乎只有在用户登录时才能访问和复制有问题的链接,但这清楚地表明提要不是端到端加密的。这就是Eufy在其营销材料中一直声称的,这些材料后来被修改了。该公司声称已经解决了这个问题,但强调它从未认为这是一个大问题,称“网上讨论的潜在安全漏洞是推测性的。
未加密的缩略图也存在问题,尽管未加密的流是迄今为止最大的问题。该公司默默地调整了其网站上的语言,以删除一些以隐私为中心的声明来解决这个问题。
在让客户和公众对这些不令人满意的答案和行动感到困惑之后,该公司现在已经回应了The Verge的询问,详细介绍了该事件及其未来的安全策略。
首先,Eufy门户网站上的视频流现在据说是端到端加密的,因为它们据说一直在Eufy应用程序上,该公司表示这是99.9%的用户访问他们的相机的方式。该公司还通过WebRTC更新其整个阵容,WebRTC是一种本地加密的视频和音频传输标准。与此同时,Eufy不得不承认,其产品默认不是端到端加密的,它一直声称它们是端到端加密的——否则,未加密的实时馈送是不可能的。
此外,Eufy承诺发布由“领先和知名安全专家”进行的独立审计,这应该表明它已经解决了所有剩余的问题。还将有一个漏洞赏金计划,Eufy承诺向发现其产品中更多漏洞的研究人员支付报酬。该公司为缺乏沟通进一步道歉,并计划在不久的将来发布有关其安全架构的更多详细信息。
The Verge已经完整地发布了Eufy的声明,所以如果你想确切地知道该公司是如何为自己辩护的,我们只能鼓励你阅读Eufy给该出版物的电子邮件。与此同时,我们仍然对推荐Eufy产品持谨慎态度。毕竟,这家专注于安全的公司花了太长时间才能正确传达已发现的问题,我们需要看到承诺的行动实现,然后才能考虑重新评估我们对Eufy产品的立场。