过去几年见证了Eufy 的崛起,成为智能家居和无线安全系统领域值得信赖的品牌。Eufy 广泛的产品范围涵盖多个类别,从机器人吸尘器和智能数字秤到宠物监控设备和家庭警报套件。然而,Eufy 最重要的产品类别之一是其安全摄像头系统系列。Eufy 长期以来一直将这些产品宣传为仅在本地服务器上存储客户数据(包括视频片段和图片)的设备。这些说法成为 Eufy 安全摄像头大受欢迎的主要原因。确信使用 Eufy 相机录制的视频片段永远不会离开他们的本地服务器,
然而,在英国安全研究员 Paul Moore 进行的一项调查之后,Eufy 关于完全“无云”安全摄像头系统的说法受到质疑 (来自 MacRumors)。Moore 还声称在 Eufy 的相机中发现了几个安全漏洞,同时还声称该公司将图像和面部识别数据发送到云中的第三方服务器——所有这些都没有得到用户的明确同意。然而,Moore 最令人吃惊的启示集中在 Eufy 的实时订阅功能——据称无需任何形式的身份验证即可访问该功能。
The Verge和Ars Technica等出版物的独立分析表明,摩尔的说法有一些道理。然而,也有反诉在某种程度上为 Eufy 的立场辩护——尽管不完全是。
Eufy 安全漏洞:它是如何被发现的?
事情始于 2022 年 11 月底,此前一直在测试 Eufy 的门铃双摄像头系统一段时间的摩尔注意到他购买的安全摄像头有问题。Moore 说,他的安全摄像头本应与云无关——并在本地存储所有信息——实际上正在将一些数据上传到 Eufy 的 AWS(亚马逊网络服务)云服务器,这与 Eufy 的说法完全相反。
Moore 于 2022 年 11 月 21 日发布了一系列推文,询问 Eufy 其摄像头系统如何将面部识别数据发送到其服务器。此后不久,另一位 Twitter 用户透露了一个惊人的消息。他声称,无需任何形式的身份验证,只需使用 VLC 播放器即可访问 Eufy 相机的实时画面。The Verge 能够独立验证这一说法。
在这两种情况下,需要注意的是,他们只能访问自己的摄像机流。虽然从理论上讲,黑客仍有可能使用强力技术来生成指向流的直接链接,但还没有记录到这种情况发生的实例。此外,用户还需要登录Eufy的网页界面,以便他们首先生成直播链接。尽管如此,这些并不能完全解释为什么 Eufy 的服务器在其服务器上存储面部识别数据,以及为什么首先这样做,因为 Eufy 声称其相机与云无关。
谁在这里说真话?
虽然不可否认 Eufy 反复强调其安全摄像头与云端完全断开连接,从而误导了客户,但故事远不止于此。在 Moore 的揭露之后,一个名为 The Hook Up 的 Youtuber 制作了围绕智能家居小工具和安全摄像头系统的内容,他制作了一个单独的视频来解释可能实际发生的事情。从他的视频中得出的关键结论是,Eufy 的许多功能都需要访问云端才能运行。Eufy 的错误在于没有在其宣传和营销材料中明确说明这些事实。
以 Eufy 的面部识别功能为例,该功能需要使用智能手机上的 Eufy 应用程序进行配置。为使此功能发挥作用,Eufy 需要将检测到的面孔与其数据库中已有人员的面孔进行匹配。这些图像还让 Eufy 在相机检测到人脸时向用户提供推送通知消息。为此,需要将缩略图上传到云服务器。如前所述,Eufy 未能向其客户明确透露其功能的这些方面。Moore 还声称,许多这些存储的缩略图即使在从手机中删除后也可以访问。作为回应,The Hook Up 声称这些图像会在 24 小时内从云服务器中自动删除。