本周,Eufy家庭安全摄像机的用户收到警告说,由于内部服务器的一个漏洞,他们的家庭视频资料将可能会允许其他的陌生人查看。反过来说,受影响的用户也获得了对其他用户访问的权限。
据专家称,这次事故是对安全问题一直很严重的无线摄像机消费市场的一个提醒,该事故已经给包括亚马逊、谷歌和ADT在内的一长串供应商带来了很多麻烦。
根据研究公司Recorded Future在其The Record新闻频道上发布的一份报告,总部位于中国的Anker公司迅速修补了这一漏洞,该漏洞发生在周一进行的服务器升级过程中,工作人员误将Eufy用户与来自世界各地的其他账户的视频流相连在了一起。
然而,用户很快注意到了一个问题,这个漏洞一直持续存在了一整天,这使得许多正在运行的已建立服务器会话的用户被其他人监视,这给用户的安全敲响了警报。
根据Tank周一在Anker网站的Eufy用户论坛上的帖子:"伙计们,如果你们的室内或室外有任何Eufy摄像头,请检查你们的账户是否安全,或暂时关闭摄像头,现在有许多关于这个安全漏洞的报告,其他用户现在可以获得对他人摄像机的控制权,请及时关闭"。
该帖子还呼吁公司 "请向负责人传达这个消息,一定要关闭系统"。
一位Reddit用户报告说,当在清晨打开Eufy安全应用程序检查房屋摄像头时,有了一个重大的发现。
用户u/cosmik_gg说:"我不知道发生了什么,但我突然得到了一个完全不同的别人的安全摄像头的画面。虽然我无法查看摄像头的实时画面,但视频画面中最近记录的所有事件都可以查看。
该用户写道:"我突然意识到,糟糕,这是别人的账户,画面显示一个女人走过她的车库,我立刻被吓坏了,我赶快给应用程序截图,以便证明这里发生了重大问题,然后我删除了它,并断开了我整个房子里所有Eufy产品的连接。"
服务器端问题
一个叫 " professor "的Eufy用户在Anker论坛上解释说,这个漏洞允许用户跨Eufy摄像头访问信息,因为Anker的产品是一个基于云服务器的架构,所以谁控制了那个能够控制和管理摄像头的主服务器,谁就能访问所有使用它的摄像头。
此外,人们不仅可以查看私人的Eufy录像,还可以控制他们的摄像机,随意移动摄像头的位置,查看账户数据,如姓名、家庭位置和其他有可能被用于犯罪的细节信息。
最终,Anker公司承认,这种情况的发生是由于服务器在更新过程中的产生了一个小故障,这个问题在第一次故障发生40分钟后被人们发现,大约一个小时后被修复。
该公司在美国东部时间周一下午4点51分在推特上发布了一个简单的问题解决方案,指示用户 "拔掉插头,然后重新连接设备",然后 "退出eufy安全应用程序并重新登录。" Anker还告诉用户,如果想进一步了解该问题,他们可以给技术支持团队发送电子邮件,地址是support[@]eufylife.com。
公司的信誉受到了影响
然而,在那个时候,该公司由于隐私方面的问题,声誉已经受到了很大的影响。用户抱怨Anker没有迅速地采取行动让人们了解到这个问题,现在使其整个家庭的隐私都受到了侵犯。
软件开发人员和量子火实验室的创始人丹尼尔-莱姆基在推特上回击了Anker关于如何解决这个问题的官方声明:"鉴于你们的隐私保护措施是积极的,我专门购买了Eufy摄像头。但我们现在需要透明度。不要等到你解决了这个问题,我们才知道这个事情。"
甚至像ABC新闻制作人和记者Andrea Nierhoff这样的Eufy用户也报告说受到了这个漏洞的影响。她在推特上说:"我可以确认,在过去的几个小时里,我也能够访问别人的摄像机的实时视频和历史记录,尽管该漏洞现在已经被修复了。但是也挺吓人的!"
基于云服务器的家庭安全摄像机的安全问题并不罕见。谷歌的Nest和亚马逊的Ring曾经也因为出现了威胁到了用户隐私的漏洞而饱受诟病。
本文翻译自:https://threatpost.com/eufy-cam-private-feeds/166288/