在过去十年里，Anker以手机充电器业务为锚点，打造出一个覆盖多种电子产品的商业帝国，其中就包括Eufy 家庭监控摄像头。Eufy的隐私承诺写道：“监控摄像头所储存的数据将留在本地，不会泄露家庭隐私，这款摄像头仅支持端到端数据传输，只会将拍摄的片段传输给您的手机。”

然而近期来自科技媒体《The Verge》的消息却显示，Eufy 监控摄像机的数据可以在非加密的情况下，将录像数据发送到其他设备。该消息最早在 11 月 24 日曝出，当时一位信息安全顾问和黑客同时发声，表示 Eufy 摄像机可以在未加密的情况下向云端传输数据。只要用免费的 VLC 媒体播放器 App 创建一个独立地址，就能和 Eufy 的云端服务器连接，在播放器里看到摄像头录制的内容。

Anker 旗下 Eufy 摄像机的部分“隐私承诺书”内容｜图片来源：The Verge

目前外界并不清楚此次泄露所涉及的范围。Anker 也没有正面回应此次传闻，面对媒体询问，公司甚至否认了这一消息。其负责人表示：“我可以保证，VLC 等第三方播放器不可能观看摄像机拍到的直播画面。”

然而《The Verge》的记者在亲自实验后，已经在美国不同地区使用 VLC 播放器反复观看了购买的两台 Eufy的录像。这证明，他人确实有方法可以在不加密的情况下，通过云端访问 Eufy。

目前还没有证据表明这一漏洞被非法分子利用。观看者依然需要用户名和密码，才能让 Eufy 开始进行非加密数据的传输。此外目前的后门仅适用于激活状态下的的摄像机，也就是只有在摄像机被按下录制按钮或监测到移动物体时，才会向云端传输未加密数据。更严重的安全隐患在于，陌生人还可以通过摄像机序列号以及 Base64 编码组成的地址，轻松破解摄像机的具体地理位置。

美国私人网络安全技术公司 Mandiant 的技术专家 Jacob Thompson 表示：“这种设计非常不合理。首先摄像机的序列号无法更改，非法分子可以通过售卖或捐赠某台相机，从而窥探购买者的隐私。包括 Eufy 在内的许多产品都没有对序列号加密，序列号被直接印在包装盒上。”

Mandiant 顾问 Dillion Franke 则表示，Eufy 的产品序列号有 16 个字符，也并没有绝对的数字规律，所以具有一定的破解难度。不过 Franke 也提醒道：“我们并不知道序列号的泄露途径，也不知道 Eufy是否会把序列号透露给其他用户。有时候产品 API 也会返回部分 ID 信息。”

Thompson 还提出，既然已经知道了 Eufy 的摄像机数据并非完全加密，那么如果 Eufy 的服务器架构存在漏洞，黑客就可以趁机入侵，随时要求摄像机传输数据。此前曾有安全专家在 Twiiter 上发言，指责 Eufy 违反了部分隐私安全承诺，在未经用户许可的情况下将视频缩略图上传到云端，用户无法完全删除存储的私人信息。Anker 只承认了缩略图的相关问题，并将其称之为一个“误会”。目前已经有用户表示，自己正在拆除家中所有的 Eufy 摄像机。

本文编译自 Anker’s Eufy lied to us about the security of its security cameras。

【本篇文章属于白鲸出海原创，如需转载：1、网站端请注明出处，并在文章中附带白鲸出海原文链接。2、微信公号及其他自媒体平台需联系授权方可，未经授权严禁转载！】

友情提醒：白鲸出海目前仅有微信群与QQ群，并无在Telegram等其他社交软件创建群，请白鲸的广大用户、合作伙伴警惕他人冒充我们，向您索要费用、骗取钱财！