放大/ Anker 的摄像机将他们的镜头存储在本地基地。然而,人脸的缩略图被上传到云服务器。 (来源:Eufy)
Eufy 是科技配件公司 Anker 的智能家居品牌,在一些注重隐私的安全摄像头买家中很受欢迎。它的门铃摄像头和其他设备自豪地宣称“ 没有云或成本”,而且“除了你,没有人可以访问你的数据”。
这就是为什么安全顾问兼研究员 Paul Moore 的一系列推文和视频显示 Eufy 相机正在将带有名称标记的缩略图图像上传到云服务器以提醒所有者的手机(可能未加密),这在本周对智能家居和安全爱好者造成了如此严重的打击。
总部位于英国的Moore从 11 月 21 日开始在 Twitter 上就其做法向 Eufy 提出修辞性问题。为什么我可以在没有#authentication 的情况下流式传输我的相机?!”Moore 还发布了来自“源代码和 API 响应”的行,表明使用了非常弱的 AES 密钥来加密视频片段。