消費電子出海，別跳進安全漏洞的大坑-今日必看

消費電子出海，別跳進安全漏洞的大坑

來源：西紅柿釋出時間：2023-02-06 14:24

消費電子出海，尤其是帶有網路連線功能的裝置出海，似乎都繞不過資訊保安這一塊。“中國人不在乎XX”的定論似乎也有些武斷，畢竟每年全球科技巨頭資料庫洩露的事件層出不窮。

只是對於這類事件，許多沒有部署專門的數字安全部門的公司更傾向於當作丟臉的事進行危機公關或者乾脆避而不談，這種不透明的猜測在外媒、安全社群、使用者之間拉扯，形成死亡螺旋。

這次的反面教材輪到安克旗下家居品牌Eufy的安防攝像頭產品。得益於安克在過去打造的優良口碑，Eufy攝像頭被許多海外使用者青睞。此外，Eufy在官網網站中承諾攝像頭只會將資料留存在本地，不會洩露家庭隱私，即使需要使用手機遠端檢視，也是採用了安全係數很高的端到端加密傳輸。

直到去年11月底，資訊保安員保羅·摩爾（Paul Moore）報告，Eufy的門鈴攝像頭並不如描述中那麼安全，可以繞過Eufy設定的加密手段使用任意泛用型播放器獲取資料。

科技媒體The Verge在保羅的幫助下對這個漏洞進行了復現，在美國東部看到了美西辦公室的Eufy監控影片。但是，The Verge也承認這個漏洞並不像想象中那麼嚴重：首先獲得專屬的影片流需要登入使用者名稱和密碼，而且無法對攝像頭進行遠端操控。實際上只要給第三方影片流加密就可以很大程度上封堵這個漏洞。

但是，Eufy的回應讓整件事情迅速下墜。安克的高階公關經理Brett White第一時間就否認了這個訊息，稱“第三方播放器不可能檢視攝像頭拍到的直播畫面”。這個回應惹得The Verge直接將這篇文章標題寫成“安克的Eufy騙了我們”。

之後，Eufy還悄悄地將寫在隱私協議中的安全性承諾刪去。這些刪去的內容包括安克對使用者資訊的私密性、本地儲存不上傳雲端、使用者本人使用密碼檢視等方面做出的承諾。

也許是不滿文章標題，Eufy幾乎可以說是完全無視The Verge的後續問訊，僅有的幾句答覆也都閃爍其詞。最後逼得後者下了最後通牒：如果再不回覆，就把事情前因後果全寫出來。

於是在事件發生2個月之後，Eufy終於回覆了郵件，並承認確實沒有做到端對端的全加密，使用者上傳影片至Eufy雲端時，影片流有被攔截的可能。

縱觀整個事件，實際上並不是什麼“史詩級漏洞”，但Eufy在與媒體的溝通中採取了迴避態度，導致雙方關係緊張，事件升溫，也失去了這家媒體長久以來的信任。

即使Eufy已經修復問題，並且承諾要開始重視安全，邀請第三方安全機構進行監督，在The Verge眼裡，也變成了沒有說服力的託辭。

其實，比Eufy攝像頭漏洞嚴重的安全事件數不勝數。

2019年，就有多家媒體報道中國品牌的兒童智慧手錶製造商存在安全防護漏洞問題，影響超過4700萬臺裝置。據瞭解，駭客基於安全漏洞不僅能檢視佩戴者實時GPS位置，還可以進行語音通話，獲取歷史音訊檔案。

一些有漏洞的智慧產品甚至會產生人身危險，比如2021年著名的成人玩具勒索事件。佛山的成人用品公司Qiui推出的男用智慧情趣貞操鎖Cellmate存在安全漏洞，攻擊者可以精確訪問到使用者的位置資料，甚至能夠遠端控制上鎖解鎖。一些駭客用此漏洞來鎖住使用者的私處，要求支付贖金才能解鎖。一些不願向駭客低頭的受害使用者只能冒險用角磨機暴力開啟，或者請消防員幫助。

對於消費電子類產品，出現安全問題並不可恥，蘋果、谷歌偶爾也會犯初級錯誤。重要的是後續的溝通態度。技術實力不是特別強的，比如Qiui，就在安全問題曝光的第一時間釋出指引，教使用者聯絡客服解鎖並重置Cellmate。而已經建立起良好品牌的企業，也可以借這個機會開始安全方面的投入，也算是把危機化作轉機。

題圖來源：Photo by FranckonUnsplash

上一篇：「一切都回來... 下一篇：純債基金長期...