Tại sao Đánh giá Geek không thể đề xuất Wyze hoặc

[ad_1]

Sửa máy tính tại nhà TPHCM

Wyze/eufy

Nó không phải là về các lỗ hổng mà là những gì các công ty đã làm tiếp theo.

Khi nói đến máy ảnh Wi-Fi giá cả phải chăng hoặc máy ảnh Wi-Fi không có đám mây, Review Geek từ lâu đã đề xuất hai công ty: Wyze và eufy. Chúng tôi đã đánh giá cao các sản phẩm của cả hai công ty và đã nhiều lần đưa chúng vào danh sách “tốt nhất”. Nhưng kể từ hôm nay, chúng tôi không còn có thể đề xuất một trong hai.

Về cơ bản, camera Wi-Fi là một thiết bị đòi hỏi rất nhiều sự tin cậy. Bạn đang đặt một thiết bị vào nhà của mình có thể nhìn thấy một số khu vực cá nhân và riêng tư nhất trong cuộc sống của bạn và có khả năng phát nó ra thế giới. Ngay cả khi bạn giữ chúng ở những khu vực “công cộng” hơn trong nhà, chẳng hạn như phòng khách hoặc nhà bếp, thì đó vẫn là một cái nhìn cá nhân hơn nhiều so với hầu hết mọi người trong cuộc sống của bạn.

Vì vậy, trước khi mua máy ảnh, bạn nên biết rằng công ty thực hiện các quy trình bảo mật tốt và tiết lộ thông tin phù hợp. Điều thứ hai đặc biệt quan trọng bởi vì ngay cả với các quy trình bảo mật tốt nhất, không có công ty nào là hoàn hảo và có khả năng sớm hay muộn mọi người trong số họ sẽ gặp phải một loại lỗ hổng nào đó.

Và đó là do những tiết lộ tồi tệ mà chúng tôi tại Review Geek đang loại bỏ cả máy ảnh Wyze và eufy khỏi các đề xuất của chúng tôi. Mỗi người đều có một lỗ hổng và cả hai đều không tiết lộ những vấn đề đó cho công chúng một cách có trách nhiệm, mặc dù theo những cách khác nhau.

Wyze giấu vấn đề nhỏ của nó

Wyze

chúng tôi đã đã báo cáo rộng rãi về vấn đề với Wyze, nhưng đây là bản tóm tắt ngắn gọn. Lỗ hổng của Wyze thực sự là một lỗ hổng khá nhỏ có thể không ảnh hưởng đến hầu hết mọi người. Vấn đề bắt nguồn từ hai điểm chính cụ thể, một trong số chúng hiếm hơn điểm kia. Camera Wyze có khả năng xem từ xa cho phép bạn kiểm tra video ngay cả khi bạn không ở nhà. Đối với hầu hết mọi người, tính năng này chỉ hoạt động nếu họ kích hoạt nó.

Nhưng trong một số trường hợp hiếm hoi, bộ định tuyến gia đình thực sự có thể chặn Wyze tiếp cận để cho phép xem từ xa. Để giải quyết vấn đề đó, bạn có thể bật tính năng chuyển tiếp cổng trong bộ định tuyến gia đình để tạo một “đường hầm” để Wyze có thể liên lạc với bạn khi bạn vắng nhà. Wyze đưa ra hướng dẫn về cách làm điều đó, nhưng thừa nhận nó có thể làm giảm tính bảo mật trên internet của bạn.

Lỗ hổng được đề cập yêu cầu cả hai bạn phải bật chuyển tiếp cổng VÀ đã lắp thẻ nhớ microSD vào máy ảnh để quay video cục bộ. Cái sau là khá phổ biến, nhưng cái đầu tiên không quá nhiều. Rất ít người có thể có cả hai thành phần. Nhưng đối với những người đã làm như vậy, ai đó có thể đột nhập vào máy ảnh của bạn và xem bất kỳ video nào trên thẻ SD. Một lần nữa, điều này có thể không áp dụng cho hầu hết chủ sở hữu máy ảnh Wyze, nhưng đó vẫn là một lỗ hổng nghiêm trọng.

Wyze Cam Outdoor trên hiên nhà.
Michael Crider / Đánh giá Geek

Vào năm 2019, các nhà nghiên cứu bảo mật của BitDefender đã thông báo cho Wyze về lỗ hổng bảo mật và đây là lúc mọi thứ trở nên thực sự tồi tệ. Wyze ngồi trên thông tin đó trong ba năm. Cuối cùng, Wyze đã vá hầu hết các máy ảnh của mình để khắc phục sự cố, nhưng rõ ràng, công ty không thể làm điều đó cho Wyze Cam ban đầu.

Tuy nhiên, thay vì nói với chủ sở hữu điều đó, công ty đã quyết định ngừng bán máy ảnh (vâng, họ đã bán máy ảnh trong hầu hết thời gian này) và thông báo rằng họ sẽ không nhận được các bản cập nhật nữa. Và vì thực tế đó, Wyze đã khuyến nghị bất kỳ ai sở hữu bản nâng cấp máy ảnh ban đầu và cung cấp một khoản chiết khấu nhỏ để làm như vậy.

Bạn có thấy vấn đề? Wyze đã không nói với những người sở hữu máy ảnh rằng có một lỗ hổng bảo mật có thể cho phép tin tặc xem video của họ. Nó chỉ khuyến nghị nâng cấp vì máy ảnh “không còn được hỗ trợ”. Đó không phải là cách xử lý tình huống này. Chỉ sau khi các nhà nghiên cứu bảo mật cuối cùng đã thổi còi, Wyze mới thừa nhận vấn đề.

Đó là một sự vi phạm lòng tin. Làm thế nào chúng ta có thể chắc chắn rằng lần tới khi Wyze gặp lỗ hổng, nó sẽ thực sự thừa nhận vấn đề để người tiêu dùng có thể đưa ra lựa chọn sáng suốt? Chỉ vì lý do đó, chúng tôi không thể khuyên dùng máy ảnh Wyze nữa. Chúng tôi vẫn sẽ đề xuất các sản phẩm khác của công ty không phải là máy ảnh, chẳng hạn như máy hút bụi rô-bốt. Nhưng chúng tôi sẽ theo dõi chặt chẽ và có thể thay đổi điều đó nếu cần thiết.

Chúng tôi đang tìm kiếm một giải pháp thay thế Wyze tốt—một giải pháp có giá cả phải chăng, đáng tin cậy và tốt nhất là có tùy chọn bỏ qua đám mây. Và eufy phù hợp với hóa đơn. Thật không may, eufy đã đi vào một con đường tương tự, có lẽ còn tồi tệ hơn.

eufy thậm chí sẽ không thừa nhận một lỗ hổng lớn

Josh Hendrickson / Đánh giá Geek

Trong vài ngày qua, eufy đã được thông qua vắt. Các nhà nghiên cứu bảo mật đã đưa ra nhiều lời buộc tội, một số nhỏ và một số lớn. Điều đầu tiên bạn cần biết về eufy là nó hứa hẹn video của bạn sẽ không bao giờ kết thúc trên đám mây. Eufy thậm chí không cung cấp dịch vụ đăng ký đám mây. Công ty tuyên bố rằng tất cả video của bạn được lưu trữ cục bộ trên máy ảnh của bạn, sử dụng mã hóa cấp độ quân sự và chỉ bạn mới có thể truy cập video bằng ứng dụng hoặc giao diện web của eufy. Không có phương pháp nào khác hoạt động, cũng như eufy không thể truy cập video của bạn. Điều đó làm cho nó lý tưởng cho ý thức bảo mật.

Yêu cầu đầu tiên chống lại eufy là khá nhỏ so với. Mặc dù tuyên bố rằng không có video nào được tải lên máy chủ, nhưng có vẻ như một số đoạn mã đã kết thúc trên máy chủ và ở dạng không được mã hóa. Chúng ở dạng hình thu nhỏ trong một tính năng tùy chọn của ứng dụng eufy. Ví dụ: bạn có thể chọn nhận thông báo bằng hình ảnh khi ai đó bấm chuông cửa để xem ai đang ở cửa trong bảng thông báo.

Để thực hiện điều đó, eufy tải hình thu nhỏ lên máy chủ AWS (Amazon) để gửi tới điện thoại của bạn và tới giao diện web. Các hình thu nhỏ có một số thông tin nhận dạng có khả năng có thể được sử dụng để nhận dạng mọi người, với một số khó khăn. Eufy đã thừa nhận báo cáo này và cam kết cập nhật ngôn ngữ của ứng dụng để làm rõ hơn rằng việc xem trước hình thu nhỏ yêu cầu tải tạm thời lên đám mây. Các hình ảnh cuối cùng sẽ bị xóa (mặc dù eufy không chỉ định trong bao lâu).

Tuy nhiên, phát hiện khác đáng quan tâm hơn nhiều, cũng như phản ứng của eufy. Nhiều nhà nghiên cứu bảo mật cáo buộc rằng bất chấp tuyên bố của eufy, hoàn toàn có thể truyền phát video không được mã hóa được lưu trữ trên máy ảnh eufy mà không cần ứng dụng, giao diện web hoặc thông tin đăng nhập. Các chi tiết rất phức tạp, nhưng nó liên quan đến một số điều: kẻ xấu sẽ cần số sê-ri của máy ảnh, dấu thời gian UNIX (rất dễ lấy) và khóa hex (tương đối dễ dùng vũ lực). Sử dụng những mẩu thông tin đó, có thể thiết kế ngược một địa chỉ mà bạn có thể sử dụng để truy cập máy ảnh từ bất kỳ đâu, bằng cách sử dụng phần mềm khác như VLC. Về lý thuyết, máy ảnh cũng yêu cầu mã thông báo để xác thực, nhưng điều đó dường như không hiệu quả và bạn có thể cung cấp bất cứ thứ gì bạn muốn.

Các nhà nghiên cứu bảo mật không công bố các phương pháp chính xác vì sợ dạy những kẻ xấu cách truy cập camera an ninh, nhưng cáo buộc rằng với thông tin chính xác ở trên, họ có thể truyền phát video không được mã hóa từ camera eufy thông qua VLC. Điều đó không thể xảy ra với yêu cầu của eufy.

bờ vực đã hỏi eufy rằng liệu các báo cáo có đúng sự thật không và công ty đã từ chối:

“Tôi có thể xác nhận rằng không thể bắt đầu phát trực tiếp và xem cảnh quay trực tiếp bằng trình phát của bên thứ ba như VLC,” Brett White, giám đốc PR cấp cao tại Anker (công ty mẹ của eufy), nói với The Verge qua email.

Nhưng mà Các bờ vực đã quản lý để tái tạo xác nhận quyền sở hữu và phát trực tuyến video từ máy ảnh eufy thông qua VLC. Bất chấp tuyên bố của eufy rằng điều đó là không thể. Cần lưu ý rằng ngay bây giờ, rất khó để sao chép điều này trong tự nhiên vì bạn cần số sê-ri của máy ảnh. Nhưng đó không phải là thông tin được bảo vệ chính xác—bạn sẽ tìm thấy thông tin đó trên hộp sản phẩm. Và có khả năng số sê-ri có thể bị thu thập và rò rỉ, giống như địa chỉ email.

Bây giờ thì bờ vực sao chép yêu cầu, bạn sẽ mong đợi eufy thay đổi giai điệu của nó. Nhưng đó dường như không phải là trường hợp. Trong một tuyên bố được đưa ra cho AndroidCentral, eufy tiếp tục phủ nhận hoặc bỏ qua vấn đề ngay cả sau khi bờ vựcbáo cáo của:

eufy Security kiên quyết không đồng ý với các cáo buộc chống lại công ty liên quan đến tính bảo mật của các sản phẩm của chúng tôi. Tuy nhiên, chúng tôi hiểu rằng các sự kiện gần đây có thể đã gây lo ngại cho một số người dùng. Chúng tôi thường xuyên xem xét và kiểm tra các tính năng bảo mật của mình, đồng thời khuyến khích phản hồi từ toàn ngành bảo mật để đảm bảo chúng tôi giải quyết tất cả các lỗ hổng bảo mật đáng tin cậy. Nếu một lỗ hổng đáng tin cậy được xác định, chúng tôi sẽ thực hiện các hành động cần thiết để khắc phục nó. Ngoài ra, chúng tôi tuân thủ tất cả các cơ quan quản lý thích hợp tại các thị trường nơi sản phẩm của chúng tôi được bán. Cuối cùng, chúng tôi khuyến khích người dùng liên hệ với nhóm hỗ trợ khách hàng tận tâm của chúng tôi nếu có thắc mắc.

Và điều đó khiến chúng ta rơi vào tình trạng tương tự như Wyze. Camera an ninh, đặc biệt là camera bạn đặt trong nhà, cần có sự tin tưởng. Và eufy đã phá vỡ niềm tin đó. Theo một số cách, eufy hiện đang tồi tệ hơn Wyze, vì ít nhất Wyze đã thừa nhận vấn đề khi thông tin được công khai. Vẫn còn quá muộn, nhưng eufy còn chờ lâu hơn nữa. Vì vậy, với lương tâm tốt, chúng tôi không thể giới thiệu camera an ninh của một trong hai công ty cho độc giả của mình.


Thông thường, nếu chúng tôi ngừng đề xuất một sản phẩm của một công ty, chẳng hạn như camera an ninh, thì chúng tôi sẽ trình bày lý do tại sao và điều gì cần làm để lấy lại đề xuất của chúng tôi. Điều đó đã xảy ra với Ring—chúng tôi ngừng đề xuất máy ảnh Ring, đặt ra những kỳ vọng của mình và khi công ty đáp ứng được yêu cầu, chúng tôi lại bắt đầu đề xuất Ring. Chúng tôi cũng muốn cung cấp các lựa chọn thay thế mà bạn có thể mua.

Nhưng trong trường hợp này, tình hình khó khăn hơn nhiều. Làm cách nào để Wyze và eufy lấy lại lòng tin sau khi từ chối thừa nhận vấn đề ngay lập tức? bờ vực đi xa hơn khi nói rằng eufy đã nói dối trong các câu trả lời của mình, mặc dù người ta có thể lập luận rằng có thể người quản lý PR có thể đã sai nhưng tin vào tuyên bố của họ. Tuy nhiên, eufy tiếp tục phủ nhận các tuyên bố, bất chấp bằng chứng được đưa ra bởi nhiều nhà nghiên cứu bảo mật và các cơ quan báo chí. Làm thế nào để bạn trở lại từ đó?

Tôi chỉ đơn giản là không biết, vì vậy tôi sẽ không thể giới thiệu lại một trong hai công ty. Chúng tôi sẽ để mắt đến họ và đi từ đó. Hiện tại, chúng tôi sẽ xóa eufy và Wyze khỏi các bài viết đề xuất máy ảnh của chúng tôi.

Đối với các lựa chọn thay thế, đó cũng là một tình huống khó khăn. Một thực tế đơn giản là không có công ty nào khác đáp ứng được nhu cầu về máy ảnh giá cả phải chăng với các tùy chọn không có đám mây, không yêu cầu phần cứng bổ sung cho bộ nhớ cục bộ hoặc thông báo hữu ích. Một số gần như Blink hoặc Arlo, nhưng yêu cầu các thành phần bổ sung làm tăng giá. Hoặc đến với các công ty mẹ mà chúng tôi không chắc mình có thể thoải mái giới thiệu.

Và thẳng thắn mà nói, mọi công ty đều có “một ngày tồi tệ” để thoát khỏi tình trạng tương tự. Tất cả phụ thuộc vào cách họ xử lý tiết lộ. Hiện tại, với tất cả sự minh bạch, tôi chỉ có thể nói với bạn rằng tôi sở hữu máy ảnh Wyze và chúng vẫn đang được cắm điện. Tôi biết những rủi ro và tôi sẵn sàng chấp nhận chúng.

Nhưng điều đó không giống với việc giới thiệu chúng cho bất kỳ ai khác. Không có khuyến nghị nào nên bắt đầu bằng “đây là một lựa chọn tốt, nhưng trước tiên, bạn nên biết một số điều.” Và đó sẽ là một yêu cầu. Đặt cược an toàn duy nhất bạn có thể thực hiện là hoàn toàn không đặt camera an ninh trong nhà.

dịch vụ cài win online từ xa

[ad_2]