消費電子出海,尤其是帶有網絡連接功能的設備出海,似乎都繞不過信息安全這一塊。" 中國人不在乎 XX" 的定論似乎也有些武斷,畢竟每年全球科技巨頭數據庫洩露的事件層出不窮。
隻是對于這類事件,許多沒有部署專門的數字安全部門的公司更傾向于當作丢臉的事進行危機公關或者幹脆避而不談,這種不透明的猜測在外媒、安全社區、用戶之間拉扯,形成死亡螺旋。
圖源:Anker 官網截圖
這次的反面教材輪到安克旗下家居品牌 Eufy 的安防攝像頭産品。得益于安克在過去打造的優良口碑,Eufy 攝像頭被許多海外用戶青睐。此外,Eufy 在官網網站中承諾攝像頭隻會将數據保留在本地,不會洩露家庭隐私,即使需要使用手機遠程查看,也是采用了安全系數很高的端到端加密傳輸。
直到去年 11 月底,信息安全員保羅 · 摩爾(Paul Moore)報告,Eufy 的門鈴攝像頭并不如描述中那麼安全,可以繞過 Eufy 設置的加密手段使用任意泛用型播放器獲取數據。
圖源:The Verge
科技媒體 The Verge 在保羅的幫助下對這個漏洞進行了複現,在美國東部看到了美西辦公室的 Eufy 監控視頻。但是,The Verge也承認這個漏洞并不像想象中那麼嚴重:首先獲得專屬的視頻流需要登錄用戶名和密碼,而且無法對攝像頭進行遠程操控。實際上隻要給第三方視頻流加密就可以很大程度上封堵這個漏洞。
但是,Eufy 的回應讓整件事情迅速下墜。安克的高級公關經理 Brett White 第一時間就否認了這個消息,稱 " 第三方播放器不可能查看攝像頭拍到的直播畫面 "。這個回應惹得 The Verge 直接将這篇文章标題寫成 " 安克的 Eufy 騙了我們 "。
之後,Eufy 還悄悄地将寫在隐私協議中的安全性承諾删去。這些删去的内容包括安克對用戶信息的私密性、本地儲存不上傳雲端、用戶本人使用密碼查看等方面做出的承諾。
也許是不滿文章标題,Eufy 幾乎可以說是完全無視 The Verge 的後續問訊,僅有的幾句答複也都閃爍其詞。最後逼得後者下了最後通牒:如果再不回複,就把事情前因後果全寫出來。
于是在事件發生 2 個月之後,Eufy 終于回複了郵件,并承認确實沒有做到端對端的全加密,用戶上傳視頻至 Eufy 雲端時,視頻流有被攔截的可能。
圖源:Photo by Joshua Hoehne on Unsplash
縱觀整個事件,實際上并不是什麼 " 史詩級漏洞 ",但 Eufy在與媒體的溝通中采取了回避态度,導緻雙方關系緊張,事件升溫,也失去了這家媒體長久以來的信任。
即使 Eufy 已經修複問題,并且承諾要開始重視安全,邀請第三方安全機構進行監督,在 The Verge 眼裡,也變成了沒有說服力的托辭。
其實,比 Eufy 攝像頭漏洞嚴重的安全事件數不勝數。
2019 年,就有多家媒體報道中國品牌的兒童智能手表制造商存在安全防護漏洞問題,影響超過 4700 萬台設備。據了解,黑客基于安全漏洞不僅能查看佩戴者實時 GPS 位置,還可以進行語音通話,獲取曆史音頻文件。
一些有漏洞的智能産品甚至會産生人身危險,比如 2021 年著名的成人玩具勒索事件。佛山的成人用品公司 Qiui 推出的男用智能情趣貞操鎖 Cellmate 存在安全漏洞,攻擊者可以精确訪問到用戶的位置數據,甚至能夠遠程控制上鎖解鎖。一些黑客用此漏洞來鎖住用戶的私處,要求支付贖金才能解鎖。一些不願向黑客低頭的受害用戶隻能冒險用角磨機暴力開啟,或者請消防員幫助。
對于消費電子類産品,出現安全問題并不可恥,蘋果、谷歌偶爾也會犯低級錯誤。重要的是後續的溝通态度。技術實力不是特别強的,比如 Qiui,就在安全問題曝光的第一時間發布指引,教用戶聯系客服解鎖并重置 Cellmate。而已經建立起良好品牌的企業,也可以借這個機會開始安全方面的投入,也算是把危機化作轉機。
題圖來源:Photo by Franck on Unsplash
