这周,Eufy居家安全监控摄像头的用户接到警示说,因为内部结构服务器的一个漏洞,她们的家庭视频材料将有可能会容许别的的路人查询。换个角度来看,受影响的用户也取得了对别的用户浏览的管理权限。
据权威专家称,此次安全事故是对安全隐患一直很严重的无线摄像机市场的需求的一个提示,该意外早已给包含amazon、Google和ADT以内的一长串经销商产生了许多不便。
依据研究公司Recorded Future在其The Record新闻在线直播上公布的一份汇报,总公司坐落于中国的Anker企业快速修复了这一漏洞,该漏洞产生在周一开展的服务器更新流程中,工作员误将Eufy用户与来源于全世界的其它帐户的视频流相接在了一起。
殊不知,用户迅速留意到了一个问题,这一漏洞一直维持出现了一整天,这导致很多已经运作的已创建服务器对话的用户被别人监控,这给用户的安全性打响了报警。
依据Tank周一在Anker网址的Eufy用户社区论坛上的贴子:"员工们,假如你们的房间内或户外有一切Eufy监控摄像头,请查验你们的帐户是不是安全性,或临时关闭摄像头,现在有很多有关这一安全性漏洞的汇报,别的用户现在可以得到对别人监控摄像头的决策权,请立即关掉"。
该贴子还号召企业 "请向责任人传递这一信息,一定要关闭程序"。
一位Reddit用户汇报说,当在早晨开启Eufy安全性应用软件查验房子监控摄像头时,拥有一个重要的发觉。
用户u/cosmik_gg说:"我不知道发生什么事,但我忽然获得了一个根本不一样的其他人的安全性监控摄像头的界面。尽管我没法查询监控摄像头的即时界面,但短视频场景中近期纪录的任何事情都能够查询。
该用户写到:"我忽然意识到,槽糕,这也是他人的帐户,界面表明一个女人踏过她的停车库,我马上被惊呆了,我赶紧给应用软件截屏,便于证实这儿发生了重大问题,随后我删除了它,并断掉了我全部房屋里全部Eufy商品的联接。"
服务器端问题
一个叫 " professor "的Eufy用户在Anker社区论坛上表述说,这一漏洞容许用户跨Eufy监控摄像头访问信息,由于Anker的商品是一个根据云服务器的构架,因此谁操控了那一个可以操纵和管理方法监控摄像头的主服务器,谁就能浏览全部应用它的监控摄像头。
除此之外,大家不但可以查询个人的Eufy录影,还能够操纵它们的监控摄像头,随便挪动镜头的部位,查询帐户数据信息,如名字、家中部位和别的有可能被用以违法犯罪的关键点信息内容。
最后,Anker企业认可,这样的事情的产生是因为服务器在重启动中的发生了一个小常见故障,这个问题在第一次故障产生40min后被我们发觉,大概一个小时后被修补。
该企业在美国东部时间周一中午4点51分别在twiter上推送了一个简便的问题解决方法,标示用户 "拔出电源插头,随后从新联接机器设备",随后 "撤出eufy安全性应用软件并再次登陆。" Anker还告知用户,假如想进一步掌握该问题,她们可以给服务支持精英团队推送电子邮箱,详细地址是support[@]eufylife.com。
企业的信誉度遭受了危害
殊不知,在那个时候,该企业因为个人隐私领域的问题,信誉早已得到了较大的危害。用户埋怨Anker沒有快速地付诸行动让大家认识到这个问题,如今使其全部家里的个人隐私都遭受了侵害。
手机软件开发者和量子科技火试验室的创办人丹尼尔-莱姆基在twiter上还击了Anker有关如何解决这个问题的官网申明:"由于你们的个人隐私保护对策是充分的,我专业选购了Eufy监控摄像头。但大家接下来必须清晰度。不必等到你解决了这个问题,大家才知道这一事儿。"
乃至像ABC新闻制片人和新闻记者Andrea Nierhoff那样的Eufy用户也汇报说遭受了这一漏洞的危害。她在twiter上说:"我能确定,在过去的的几小时里,我就可以浏览他人的监控摄像头的实时监控和历史数据,虽然该漏洞如今早已被修补了。可是也挺可怕的!"
根据云服务器的居家安全监控摄像头的安全隐患并不少见。Google的Nest和亚马逊平台的Ring以前也由于发生了危害到了用户个人隐私的漏洞而饱受诟病。
文中翻譯自:https://threatpost.com/eufy-cam-private-feeds/166288/