Anker 的 Eufy 允許訪問未加密視頻，計劃進行徹底改革

在與批評者就其“無雲”安全攝像頭的哪些方面可以被安全研究人員在線訪問進行了兩個月的爭論後，Anker 的智能家居部門 Eufy 提供了詳細的解釋，並承諾會做得更好。

The Verge 多次指責 Eufy 未能解決其安全模型的關鍵方面，在對 The Verge 的多次回應中，Eufy 明確表示，可以通過 Eufy 的門戶網站以未加密的方式訪問其攝像機生成的視頻流，儘管消息傳遞和營銷假設對面的。Eufy 還表示，將引進滲透測試人員、委託獨立安全研究人員編寫報告、創建錯誤賞金計劃並微調其安全協議。

直到 2022 年 11 月底，Eufy 在智能家居安全提供商中一直處於領先地位。對於那些願意將視頻流和其他家庭數據委託給任何公司的人來說，Eufy 將自己定位為“無雲或成本”產品，僅將加密流傳輸到本地存儲。

然後是尤菲的第一個可悲的揭露。安全顧問兼研究員Paul Moore 在 Twitter 上向 Yufi 詢問他發現的幾個不一致之處。他的門鈴攝像頭拍攝的圖像似乎標有面部識別數據，可在公共 URL 上獲取。激活後，來自攝像頭的信息似乎無需 VLC 媒體播放器的身份驗證即可訪問（這一點後來得到了 The Verge 的證實）。Eufy發表聲明稱，事實上，它並沒有完全解釋如何使用雲服務器提供移動通知，並承諾更新其語言。摩爾在推特上表示與尤菲的法律團隊進行了“長時間的討論”後陷入了沉默。

幾天后，另一位安全研究人員證實，只要給出 Eufy 用戶門戶網站內的 URL，就可以對其進行流式傳輸。URL 加密方案似乎也不夠複雜；正如同一位研究人員告訴 Ars 的那樣，只需 65,535 種組合即可進行暴力破解，“計算機可以相當快地完成這一任務。” Anker 後來增加了猜測 URL 流所需的隨機字符數量，並聲稱他使媒體播放器無法播放用戶的流，即使他們有 URL。

當時，Eufy 向 The Verge、Ars 和其他出版物發表了一份聲明，指出它“強烈”不同意“針對該公司有關我們產品安全的指控”。在 The Verge 的持續壓力下，Anker 發布了一份聲明冗長的聲明詳細說明了他過去的錯誤和未來的計劃。

Anker/Yufie 的值得注意的言論包括：