本周，Eufy家庭安全攝像機(jī)的用戶收到警告說，由于內(nèi)部服務(wù)器的一個(gè)漏洞，他們的家庭視頻資料將可能會允許其他的陌生人查看。反過來說，受影響的用戶也獲得了對其他用戶訪問的權(quán)限。

[[401182]]

據(jù)專家稱，這次事故是對安全問題一直很嚴(yán)重的無線攝像機(jī)消費(fèi)市場的一個(gè)提醒，該事故已經(jīng)給包括亞馬遜、谷歌和ADT在內(nèi)的一長串供應(yīng)商帶來了很多麻煩。

根據(jù)研究公司Recorded Future在其The Record新聞頻道上發(fā)布的一份報(bào)告，總部位于中國的Anker公司迅速修補(bǔ)了這一漏洞，該漏洞發(fā)生在周一進(jìn)行的服務(wù)器升級過程中，工作人員誤將Eufy用戶與來自世界各地的其他賬戶的視頻流相連在了一起。

然而，用戶很快注意到了一個(gè)問題，這個(gè)漏洞一直持續(xù)存在了一整天，這使得許多正在運(yùn)行的已建立服務(wù)器會話的用戶被其他人監(jiān)視，這給用戶的安全敲響了警報(bào)。

根據(jù)Tank周一在Anker網(wǎng)站的Eufy用戶論壇上的帖子："伙計(jì)們，如果你們的室內(nèi)或室外有任何Eufy攝像頭，請檢查你們的賬戶是否安全，或暫時(shí)關(guān)閉攝像頭，現(xiàn)在有許多關(guān)于這個(gè)安全漏洞的報(bào)告，其他用戶現(xiàn)在可以獲得對他人攝像機(jī)的控制權(quán)，請及時(shí)關(guān)閉"。

該帖子還呼吁公司 "請向負(fù)責(zé)人傳達(dá)這個(gè)消息，一定要關(guān)閉系統(tǒng)"。

一位Reddit用戶報(bào)告說，當(dāng)在清晨打開Eufy安全應(yīng)用程序檢查房屋攝像頭時(shí)，有了一個(gè)重大的發(fā)現(xiàn)。

用戶u/cosmik_gg說："我不知道發(fā)生了什么，但我突然得到了一個(gè)完全不同的別人的安全攝像頭的畫面。雖然我無法查看攝像頭的實(shí)時(shí)畫面，但視頻畫面中最近記錄的所有事件都可以查看。

該用戶寫道："我突然意識到，糟糕，這是別人的賬戶，畫面顯示一個(gè)女人走過她的車庫，我立刻被嚇壞了，我趕快給應(yīng)用程序截圖，以便證明這里發(fā)生了重大問題，然后我刪除了它，并斷開了我整個(gè)房子里所有Eufy產(chǎn)品的連接。"

服務(wù)器端問題

一個(gè)叫 " professor "的Eufy用戶在Anker論壇上解釋說，這個(gè)漏洞允許用戶跨Eufy攝像頭訪問信息，因?yàn)锳nker的產(chǎn)品是一個(gè)基于云服務(wù)器的架構(gòu)，所以誰控制了那個(gè)能夠控制和管理攝像頭的主服務(wù)器，誰就能訪問所有使用它的攝像頭。

此外，人們不僅可以查看私人的Eufy錄像，還可以控制他們的攝像機(jī)，隨意移動攝像頭的位置，查看賬戶數(shù)據(jù)，如姓名、家庭位置和其他有可能被用于犯罪的細(xì)節(jié)信息。

最終，Anker公司承認(rèn)，這種情況的發(fā)生是由于服務(wù)器在更新過程中的產(chǎn)生了一個(gè)小故障，這個(gè)問題在第一次故障發(fā)生40分鐘后被人們發(fā)現(xiàn)，大約一個(gè)小時(shí)后被修復(fù)。

該公司在美國東部時(shí)間周一下午4點(diǎn)51分在推特上發(fā)布了一個(gè)簡單的問題解決方案，指示用戶 "拔掉插頭，然后重新連接設(shè)備"，然后 "退出eufy安全應(yīng)用程序并重新登錄。" Anker還告訴用戶，如果想進(jìn)一步了解該問題，他們可以給技術(shù)支持團(tuán)隊(duì)發(fā)送電子郵件，地址是support[@]eufylife.com。

公司的信譽(yù)受到了影響

然而，在那個(gè)時(shí)候，該公司由于隱私方面的問題，聲譽(yù)已經(jīng)受到了很大的影響。用戶抱怨Anker沒有迅速地采取行動讓人們了解到這個(gè)問題，現(xiàn)在使其整個(gè)家庭的隱私都受到了侵犯。

軟件開發(fā)人員和量子火實(shí)驗(yàn)室的創(chuàng)始人丹尼爾-萊姆基在推特上回?fù)袅薃nker關(guān)于如何解決這個(gè)問題的官方聲明："鑒于你們的隱私保護(hù)措施是積極的，我專門購買了Eufy攝像頭。但我們現(xiàn)在需要透明度。不要等到你解決了這個(gè)問題，我們才知道這個(gè)事情。"

甚至像ABC新聞制作人和記者Andrea Nierhoff這樣的Eufy用戶也報(bào)告說受到了這個(gè)漏洞的影響。她在推特上說："我可以確認(rèn)，在過去的幾個(gè)小時(shí)里，我也能夠訪問別人的攝像機(jī)的實(shí)時(shí)視頻和歷史記錄，盡管該漏洞現(xiàn)在已經(jīng)被修復(fù)了。但是也挺嚇人的!"

基于云服務(wù)器的家庭安全攝像機(jī)的安全問題并不罕見。谷歌的Nest和亞馬遜的Ring曾經(jīng)也因?yàn)槌霈F(xiàn)了威脅到了用戶隱私的漏洞而飽受詬病。

本文翻譯自：https://threatpost.com/eufy-cam-private-feeds/166288/