本周,Eufy家庭安全攝像機(jī)的用戶(hù)收到警告說(shuō),由于內(nèi)部服務(wù)器的一個(gè)漏洞,他們的家庭視頻資料將可能會(huì)允許其他的陌生人查看。反過(guò)來(lái)說(shuō),受影響的用戶(hù)也獲得了對(duì)其他用戶(hù)訪(fǎng)問(wèn)的權(quán)限。
據(jù)專(zhuān)家稱(chēng),這次事故是對(duì)安全問(wèn)題一直很?chē)?yán)重的無(wú)線(xiàn)攝像機(jī)消費(fèi)市場(chǎng)的一個(gè)提醒,該事故已經(jīng)給包括亞馬遜、谷歌和ADT在內(nèi)的一長(zhǎng)串供應(yīng)商帶來(lái)了很多麻煩。
根據(jù)研究公司Recorded Future在其The Record新聞?lì)l道上發(fā)布的一份報(bào)告,總部位于中國(guó)的Anker公司迅速修補(bǔ)了這一漏洞,該漏洞發(fā)生在周一進(jìn)行的服務(wù)器升級(jí)過(guò)程中,工作人員誤將Eufy用戶(hù)與來(lái)自世界各地的其他賬戶(hù)的視頻流相連在了一起。
然而,用戶(hù)很快注意到了一個(gè)問(wèn)題,這個(gè)漏洞一直持續(xù)存在了一整天,這使得許多正在運(yùn)行的已建立服務(wù)器會(huì)話(huà)的用戶(hù)被其他人監(jiān)視,這給用戶(hù)的安全敲響了警報(bào)。
根據(jù)Tank周一在A(yíng)nker網(wǎng)站的Eufy用戶(hù)論壇上的帖子:"伙計(jì)們,如果你們的室內(nèi)或室外有任何Eufy攝像頭,請(qǐng)檢查你們的賬戶(hù)是否安全,或暫時(shí)關(guān)閉攝像頭,現(xiàn)在有許多關(guān)于這個(gè)安全漏洞的報(bào)告,其他用戶(hù)現(xiàn)在可以獲得對(duì)他人攝像機(jī)的控制權(quán),請(qǐng)及時(shí)關(guān)閉"。
該帖子還呼吁公司"請(qǐng)向負(fù)責(zé)人傳達(dá)這個(gè)消息,一定要關(guān)閉系統(tǒng)"。
一位Reddit用戶(hù)報(bào)告說(shuō),當(dāng)在清晨打開(kāi)Eufy安全應(yīng)用程序檢查房屋攝像頭時(shí),有了一個(gè)重大的發(fā)現(xiàn)。
用戶(hù)u/cosmik_gg說(shuō):"我不知道發(fā)生了什么,但我突然得到了一個(gè)完全不同的別人的安全攝像頭的畫(huà)面。雖然我無(wú)法查看攝像頭的實(shí)時(shí)畫(huà)面,但視頻畫(huà)面中最近記錄的所有事件都可以查看。
該用戶(hù)寫(xiě)道:"我突然意識(shí)到,糟糕,這是別人的賬戶(hù),畫(huà)面顯示一個(gè)女人走過(guò)她的車(chē)庫(kù),我立刻被嚇壞了,我趕快給應(yīng)用程序截圖,以便證明這里發(fā)生了重大問(wèn)題,然后我刪除了它,并斷開(kāi)了我整個(gè)房子里所有Eufy產(chǎn)品的連接。"
服務(wù)器端問(wèn)題
一個(gè)叫"professor"的Eufy用戶(hù)在A(yíng)nker論壇上解釋說(shuō),這個(gè)漏洞允許用戶(hù)跨Eufy攝像頭訪(fǎng)問(wèn)信息,因?yàn)锳nker的產(chǎn)品是一個(gè)基于云服務(wù)器的架構(gòu),所以誰(shuí)控制了那個(gè)能夠控制和管理攝像頭的主服務(wù)器,誰(shuí)就能訪(fǎng)問(wèn)所有使用它的攝像頭。
此外,人們不僅可以查看私人的Eufy錄像,還可以控制他們的攝像機(jī),隨意移動(dòng)攝像頭的位置,查看賬戶(hù)數(shù)據(jù),如姓名、家庭位置和其他有可能被用于犯罪的細(xì)節(jié)信息。
最終,Anker公司承認(rèn),這種情況的發(fā)生是由于服務(wù)器在更新過(guò)程中的產(chǎn)生了一個(gè)小故障,這個(gè)問(wèn)題在第一次故障發(fā)生40分鐘后被人們發(fā)現(xiàn),大約一個(gè)小時(shí)后被修復(fù)。
該公司在美國(guó)東部時(shí)間周一下午4點(diǎn)51分在推特上發(fā)布了一個(gè)簡(jiǎn)單的問(wèn)題解決方案,指示用戶(hù)"拔掉插頭,然后重新連接設(shè)備",然后"退出eufy安全應(yīng)用程序并重新登錄。"Anker還告訴用戶(hù),如果想進(jìn)一步了解該問(wèn)題,他們可以給技術(shù)支持團(tuán)隊(duì)發(fā)送電子郵件,地址是support[ ]eufylife.com。
公司的信譽(yù)受到了影響
然而,在那個(gè)時(shí)候,該公司由于隱私方面的問(wèn)題,聲譽(yù)已經(jīng)受到了很大的影響。用戶(hù)抱怨Anker沒(méi)有迅速地采取行動(dòng)讓人們了解到這個(gè)問(wèn)題,現(xiàn)在使其整個(gè)家庭的隱私都受到了侵犯。
軟件開(kāi)發(fā)人員和量子火實(shí)驗(yàn)室的創(chuàng)始人丹尼爾-萊姆基在推特上回?fù)袅薃nker關(guān)于如何解決這個(gè)問(wèn)題的官方聲明:"鑒于你們的隱私保護(hù)措施是積極的,我專(zhuān)門(mén)購(gòu)買(mǎi)了Eufy攝像頭。但我們現(xiàn)在需要透明度。不要等到你解決了這個(gè)問(wèn)題,我們才知道這個(gè)事情。"
甚至像ABC新聞制作人和記者Andrea Nierhoff這樣的Eufy用戶(hù)也報(bào)告說(shuō)受到了這個(gè)漏洞的影響。她在推特上說(shuō):"我可以確認(rèn),在過(guò)去的幾個(gè)小時(shí)里,我也能夠訪(fǎng)問(wèn)別人的攝像機(jī)的實(shí)時(shí)視頻和歷史記錄,盡管該漏洞現(xiàn)在已經(jīng)被修復(fù)了。但是也挺嚇人的!"
基于云服務(wù)器的家庭安全攝像機(jī)的安全問(wèn)題并不罕見(jiàn)。谷歌的Nest和亞馬遜的Ring曾經(jīng)也因?yàn)槌霈F(xiàn)了威脅到了用戶(hù)隱私的漏洞而飽受詬病。