消费电子出海,尤其是带有网络连接功能的设备出海,似乎都绕不过信息安全这一块。" 中国人不在乎 XX" 的定论似乎也有些武断,毕竟每年全球科技巨头数据库泄露的事件层出不穷。
只是对于这类事件,许多没有部署专门的数字安全部门的公司更倾向于当作丢脸的事进行危机公关或者干脆避而不谈,这种不透明的猜测在外媒、安全社区、用户之间拉扯,形成死亡螺旋。
图源:Anker 官网截图
这次的反面教材轮到安克旗下家居品牌 Eufy 的安防摄像头产品。得益于安克在过去打造的优良口碑,Eufy 摄像头被许多海外用户青睐。此外,Eufy 在官网网站中承诺摄像头只会将数据保留在本地,不会泄露家庭隐私,即使需要使用手机远程查看,也是采用了安全系数很高的端到端加密传输。
直到去年 11 月底,信息安全员保罗 · 摩尔(Paul Moore)报告,Eufy 的门铃摄像头并不如描述中那么安全,可以绕过 Eufy 设置的加密手段使用任意泛用型播放器获取数据。
图源:The Verge
科技媒体 The Verge 在保罗的帮助下对这个漏洞进行了复现,在美国东部看到了美西办公室的 Eufy 监控视频。但是,The Verge也承认这个漏洞并不像想象中那么严重:首先获得专属的视频流需要登录用户名和密码,而且无法对摄像头进行远程操控。实际上只要给第三方视频流加密就可以很大程度上封堵这个漏洞。
但是,Eufy 的回应让整件事情迅速下坠。安克的高级公关经理 Brett White 第一时间就否认了这个消息,称 " 第三方播放器不可能查看摄像头拍到的直播画面 "。这个回应惹得 The Verge 直接将这篇文章标题写成 " 安克的 Eufy 骗了我们 "。
之后,Eufy 还悄悄地将写在隐私协议中的安全性承诺删去。这些删去的内容包括安克对用户信息的私密性、本地储存不上传云端、用户本人使用密码查看等方面做出的承诺。
也许是不满文章标题,Eufy 几乎可以说是完全无视 The Verge 的后续问讯,仅有的几句答复也都闪烁其词。最后逼得后者下了最后通牒:如果再不回复,就把事情前因后果全写出来。
于是在事件发生 2 个月之后,Eufy 终于回复了邮件,并承认确实没有做到端对端的全加密,用户上传视频至 Eufy 云端时,视频流有被拦截的可能。
图源:Photo by Joshua Hoehne on Unsplash
纵观整个事件,实际上并不是什么 " 史诗级漏洞 ",但 Eufy在与媒体的沟通中采取了回避态度,导致双方关系紧张,事件升温,也失去了这家媒体长久以来的信任。
即使 Eufy 已经修复问题,并且承诺要开始重视安全,邀请第三方安全机构进行监督,在 The Verge 眼里,也变成了没有说服力的托辞。
其实,比 Eufy 摄像头漏洞严重的安全事件数不胜数。
2019 年,就有多家媒体报道中国品牌的儿童智能手表制造商存在安全防护漏洞问题,影响超过 4700 万台设备。据了解,黑客基于安全漏洞不仅能查看佩戴者实时 GPS 位置,还可以进行语音通话,获取历史音频文件。
一些有漏洞的智能产品甚至会产生人身危险,比如 2021 年著名的成人玩具勒索事件。佛山的成人用品公司 Qiui 推出的男用智能情趣贞操锁 Cellmate 存在安全漏洞,攻击者可以精确访问到用户的位置数据,甚至能够远程控制上锁解锁。一些黑客用此漏洞来锁住用户的私处,要求支付赎金才能解锁。一些不愿向黑客低头的受害用户只能冒险用角磨机暴力开启,或者请消防员帮助。
对于消费电子类产品,出现安全问题并不可耻,苹果、谷歌偶尔也会犯低级错误。重要的是后续的沟通态度。技术实力不是特别强的,比如 Qiui,就在安全问题曝光的第一时间发布指引,教用户联系客服解锁并重置 Cellmate。而已经建立起良好品牌的企业,也可以借这个机会开始安全方面的投入,也算是把危机化作转机。
来源:ZAKER
