一名安全研究人员声称 Eufy安全摄像头正在将包含个人身份数据的照片上传到其服务器,这不仅违反了其自身的主要销售主张,也违反了欧盟的通用数据保护条例 (GDPR)。
根据Android Central的报告, 安全研究员 Paul Moore 发现 Eufy Doorbell Dual 摄像头将面部识别数据上传到公司的 AWS 云,没有加密。
(相关资料图)
另一方面,该公司表示完全符合数据保护法规,收集的数据仅用于通知。
在一系列推文中, Moore 声称数据与用户名和其他信息一起存储,这些信息可用于识别照片被拍摄者的身份。此外,Eury 声称,即使用户从 Eufy 应用程序中删除数据,Eury 仍会保留数据。
Moore 还表示,视频源可以通过网络浏览器访问,只需知道正确的 URL,不需要密码。他说,用 AES 128 加密的摄像机视频使用的是一个简单的密钥,相对容易破解。
自爆料以来,该公司声称已经修补了“一些问题”,但并没有比这更透明,因此无法核实问题是否仍在继续。
“不幸的是(或者幸运的是,不管你怎么看),Eufy 已经删除了网络调用并对其他调用进行了高度加密,使其几乎无法检测到;因此我之前的 PoC [概念验证漏洞] 不再有效。你也许能够使用显示的有效载荷手动调用特定端点,这可能仍会返回结果,”摩尔后来补充道。
另一方面,Eufy 告诉该出版物,其产品“完全符合通用数据保护条例 (GDPR) 标准,包括 ISO 27701/27001 和 ETSI 303645 认证。”问题似乎出在用户决定他们想要带有通知的缩略图。
默认情况下,来自相机的通知是纯文本的,这意味着不会上传缩略图,除非像摩尔一样,用户手动启用该功能。
Eufy 还表示,在作为通知发送之前,缩略图会“临时”上传到其服务器。此外,该公司表示其推送通知做法“符合 Apple 推送通知服务和 Firebase 云消息标准”和自动删除。它没有说什么时候。
缩略图还利用服务器端加密,该公司补充说,未经授权的用户不应看到它们。
“虽然我们的 Eufy Security 应用程序允许用户在基于文本或基于缩略图的推送通知之间进行选择,但并未明确选择基于缩略图的通知是否需要将预览图像短暂地托管在云中。缺乏沟通是一个问题这是我们的疏忽,我们为我们的错误深表歉意,”该公司总结道。
展望未来,Eufy 声称它将更改其推送通知选项语言,以及使用云进行推送通知。