首页 >新闻 > 科技 > 内容

Ring新的安全控制中心还远远不够

科技 2020-02-05 15:35:32

就在一个密西西比家族起诉亚马逊拥有的智能相机制造商Ring没有采取足够的措施防止黑客监视他们的孩子的同一天,该公司推出了其先前宣布的“控制中心”,它希望能让你忘记其可验证的“可怕”安全做法。

在周四的博客文章中,Ring说,新的“控制中心”“授权”客户管理他们的安全和隐私设置。

环用户可以检查是否启用了双因素身份验证,从帐户中添加和删除用户,查看哪些第三方服务可以访问他们的环相机,并选择不允许警察在未经用户同意的情况下访问他们的视频记录。

但更深入地挖掘,Ring的最新变化实际上仍然没有改变其一些最基本但备受批评的安全实践。

几个月前,黑客闯入Ring摄像机并远程监视和与小孩子交谈后,人们对这些做法提出了质疑。黑客们正在使用先前泄露的电子邮件地址和密码——一种被称为“凭证填充”的技术——闯入账户。其中一些证书,其中许多是简单和容易猜测,后来发表在黑暗的网络上。

然而,Ring仍然没有采取任何措施来缓解这一最基本的安全问题。

TechCrunch通过Ring的注册页面运行了几个密码,发现我们可以输入任何容易猜测的密码,比如“12345678”和“密码”——这两个密码连续几年被评为最常见的密码。

为了解决这个问题,Ring说,当时用户应该启用双因素认证,这是一个安全功能,增加了一个额外的检查,以防止帐户漏洞,如密码喷洒,黑客使用一个常见的密码列表,试图强行进入帐户。

但是Ring仍然使用弱的双因素身份验证形式,通过短信发送代码。短信是不安全的,可以通过拦截和SIM交换攻击。就连政府的技术标准机构NIST也不赞成支持基于短信的双因素。专家们说,虽然基于文本的双因素比根本不使用它要好,但它的安全性远远低于基于应用程序的双因素,即代码是通过加密连接到手机上的应用程序来传递的。

Ring表示,它将在今年晚些时候强制推出其双因素认证功能,但尚未透露今后是否会支持基于应用程序的双因素认证。

这家智能相机制造商也因其与执法部门的舒适关系而受到批评,立法者对此感到关切,并要求回答。

环允许警察在没有传票或逮捕证的情况下访问用户的视频。(与其母公司亚马逊不同,Ring仍然没有公布警方要求访问客户视频的次数,无论是否有法律要求。)

林现在说,它的控制中心将允许用户决定警察是否可以访问他们的视频。

但不要被Ring的承诺所愚弄,即警察“除非你明确地选择通过回应特定的视频请求来分享你的视频记录,否则就不能看到你的视频记录”。警察仍然可以获得搜查令或法院命令来获取你的视频,如果警察能证明有合理的理由证明它可能包含犯罪的证据-比如视频片段-这并不是特别困难的。

没有什么可以阻止Ring或任何其他智能家居制造商对客户数据提供零知识的方法,只有用户才有加密密钥来访问他们的数据。如果它真正关心用户的安全和隐私,那么从循环中切割自己(以及其他所有人)将是它唯一能做的有意义的事情。该公司将不得不决定这种权衡是否值得——对其用户来说,真正的隐私与失去对用户数据的访问,这将有效地扼杀其与警察部门的持续合作。

林格说,安全和隐私“一直是我们的首要任务”。但如果它不愿意在基础方面工作,它的话就只不过是空洞的承诺。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。