消费电子出海，别跳进安全漏洞的大坑

消费电子出海，尤其是带有网络连接功能的设备出海，似乎都绕不过信息安全这一块。“中国人不在乎XX”的定论似乎也有些武断，毕竟每年全球科技巨头数据库泄露的事件层出不穷。

只是对于这类事件，许多没有部署专门的数字安全部门的公司更倾向于当作丢脸的事进行危机公关或者干脆避而不谈，这种不透明的猜测在外媒、安全社区、用户之间拉扯，形成死亡螺旋。

图源：Anker官网截图

这次的反面教材轮到安克旗下家居品牌Eufy的安防摄像头产品。得益于安克在过去打造的优良口碑，Eufy摄像头被许多海外用户青睐。此外，Eufy在官网网站中承诺摄像头只会将数据保留在本地，不会泄露家庭隐私，即使需要使用手机远程查看，也是采用了安全系数很高的端到端加密传输。

直到去年11月底，信息安全员保罗·摩尔（Paul Moore）报告，Eufy的门铃摄像头并不如描述中那么安全，可以绕过Eufy设置的加密手段使用任意泛用型播放器获取数据。

图源：The Verge

科技媒体The Verge在保罗的帮助下对这个漏洞进行了复现，在美国东部看到了美西办公室的Eufy监控视频。但是，The Verge也承认这个漏洞并不像想象中那么严重：首先获得专属的视频流需要登录用户名和密码，而且无法对摄像头进行远程操控。实际上只要给第三方视频流加密就可以很大程度上封堵这个漏洞。

但是，Eufy的回应让整件事情迅速下坠。安克的高级公关经理Brett White第一时间就否认了这个消息，称“第三方播放器不可能查看摄像头拍到的直播画面”。这个回应惹得The Verge直接将这篇文章标题写成“安克的Eufy骗了我们”。

之后，Eufy还悄悄地将写在隐私协议中的安全性承诺删去。这些删去的内容包括安克对用户信息的私密性、本地储存不上传云端、用户本人使用密码查看等方面做出的承诺。

也许是不满文章标题，Eufy几乎可以说是完全无视The Verge的后续问讯，仅有的几句答复也都闪烁其词。最后逼得后者下了最后通牒：如果再不回复，就把事情前因后果全写出来。

于是在事件发生2个月之后，Eufy终于回复了邮件，并承认确实没有做到端对端的全加密，用户上传视频至Eufy云端时，视频流有被拦截的可能。

图源：Photo by Joshua Hoehne on Unsplash

纵观整个事件，实际上并不是什么“史诗级漏洞”，但Eufy在与媒体的沟通中采取了回避态度，导致双方关系紧张，事件升温，也失去了这家媒体长久以来的信任。

即使Eufy已经修复问题，并且承诺要开始重视安全，邀请第三方安全机构进行监督，在The Verge眼里，也变成了没有说服力的托辞。

其实，比Eufy摄像头漏洞严重的安全事件数不胜数。

2019年，就有多家媒体报道中国品牌的儿童智能手表制造商存在安全防护漏洞问题，影响超过4700万台设备。据了解，黑客基于安全漏洞不仅能查看佩戴者实时GPS位置，还可以进行语音通话，获取历史音频文件。

一些有漏洞的智能产品甚至会产生人身危险，比如2021年著名的成人玩具勒索事件。佛山的成人用品公司Qiui推出的男用智能情趣贞操锁Cellmate存在安全漏洞，攻击者可以精确访问到用户的位置数据，甚至能够远程控制上锁解锁。一些黑客用此漏洞来锁住用户的私处，要求支付赎金才能解锁。一些不愿向黑客低头的受害用户只能冒险用角磨机暴力开启，或者请消防员帮助。

对于消费电子类产品，出现安全问题并不可耻，苹果、谷歌偶尔也会犯低级错误。重要的是后续的沟通态度。技术实力不是特别强的，比如Qiui，就在安全问题曝光的第一时间发布指引，教用户联系客服解锁并重置Cellmate。而已经建立起良好品牌的企业，也可以借这个机会开始安全方面的投入，也算是把危机化作转机。