具有“本地存儲”功能的 Eufy 攝像機可以從任何地方進行未加密的流式傳輸。

當安全研究人員發現 Eufy 據稱無雲的攝像頭正在將人臉數據縮略圖上傳到雲服務器時，Eufy 回應稱這是一個誤會，沒有向客戶透露其移動通知系統的一個方​​面。

看來現在了解多了，這也不好。

Eufy 尚未回應安全研究員 Paul Moore 和其他人的其他說法，包括如果您有正確的 URL，則可以從 Eufy 的攝像頭流式傳輸到 VLC 媒體播放器。昨晚，The Verge 與安全研究人員“wasabi”（最先在 Twitter 上發布了該問題）合作，確認可以通過 Eufy 服務器 URL訪問 Eufy 的攝像頭流，無需加密。

這使得 Eufy 的隱私承諾“永遠不會離開您家的安全”、端到端加密並且僅“直接發送到您的手機”，即使不是完全可疑，也具有高度誤導性。這也與 Anker/Eufy 的高級公關經理相矛盾，後者告訴 The Verge，使用 VLC 等第三方工具觀看視頻是“不可能的”。

The Verge 指出了一些與雲託管縮略圖類似的警告。基本上，您通常需要用戶名和密碼才能打開和訪問不加密的流 URL。“通常”，即因為相機的 URL 似乎是一個相對簡單的方案，包括 Base64 格式的相機序列號、Unix 時間戳、The Verge 表示未經 Eufy 服務器驗證的令牌以及四位十六進制數價值。Eufy 序列號通常為 16 位數字，但也印在某些盒子上並且可以在其他地方獲得。

我們已聯繫 Eufy 和 Wasabi，並將用任何其他信息更新此帖子。研究員 Paul Moore 最初對 Eufy 的雲訪問提出了擔憂，他於 11 月 28 日在推特上表示，他“與 [Eufy 的] 法律部門進行了長時間的討論”，並且在提供最新情況之前不會對進一步的行動發表評論。

（東部時間下午 5:42 更新：Ars 與 Wasabi 進行了交談，Wasabi 確認他可以在無需身份驗證或該系統上的其他 Eufy 設備的情況下查看來自網絡外部系統的 Eufy 攝像頭源。“Eufy 似乎只是試圖阻止人們查看。他們的（網絡）應用程序發送的數據而不是實際解決問題，”他們寫道。

Wasabi 還指出，由於遠程 URL 的設置方式，只能嘗試 65,535 種組合，“計算機可以很快做到這一點。”）

在智能家居和家庭安全領域，漏洞檢測是常態，而不是例外。Ring、Nest、三星、Owl 的公司會議攝像頭 – 如果它有鏡頭並連接到 Wi-Fi，您可以預期在某個時候會出現缺陷，並成為頭條新聞。大多數這些缺陷的範圍有限，攻擊者難以利用，並且通過負責任的披露和快速響應，它們最終將使設備和系統更加可靠。

在這種情況下，Eufy 看起來並不像一家擁有典型漏洞的典型雲安全公司。一整頁的隱私承諾，包括一些有效且特別好的舉措，在一周內就基本過時了。

您可以說，任何想要收到手機攝像頭事件通知的人都應該預料到一些雲服務器會參與其中。您可以讓 Eufy 相信，您可以使用正確的 URL 訪問的雲服務器只是流的一個路徑點，這些流最終必須在帳戶密碼的保護下離開家庭網絡。

但對於那些以自己的視頻存儲在本地、安全且與其他雲公司不同為藉口購買了 Eufy 產品的客戶來說，這一定是特別痛苦的，結果卻看到 Eufy 很難向最大的技術新聞發布之一解釋其對雲的依賴。