Why we're dropping this sponsor

EUFY，中國的一間專門做行動電源的，叫 Anker 的子公司，被發現：

1. 未經使用者同意，上傳智慧門鈴上的攝影機的照片到自己的 Server。
2. 而且這個照片還經過人臉辨視，Tagging 到使用者。
3. 號稱軍用等級加密（實際上就是 AES-256），但是卻讓密鑰在 API 上裸奔。讓身為一個後端工程師的我，聽到時整個黑人問號。
4. 更絕的來了！回報給 EUFY 的人本來以為會被無視，結果 EUFY 承認這件事，說這是為了「發送通知，送完通知之後就會刪掉」，以及「他們之後會加密 API 通訊」。至於為什麼要加密嘛，影片裡有說當然不會是為了安全性囉。

5. 有人發現，可以直接用 VLC 直接看 EUFY 設備的攝影機即時影像，不用任何認證，也沒有任何加密。

6. EUFY 雖然說發送通知後就會刪除上傳的影像，但使用者發現，他刪掉通知了，伺服器上一樣拉得到照片（而且是高解析度的）。他整個帳號刪掉，一樣拉得到照片。同樣的，過程中沒有任何的認證機制。

老實說啦，中國製造商不意外。先不論這是背後有沒有中國政府的因素，但身為一個後端工程師，只能說這樣的產品在資訊安全上就是徹頭徹尾不合格的。

然後 Anker 在行動電源方面在北美是大牌，LTT 應該也有接過業配，所以他們在影片中也說，不會再合作了。畢竟這件事真的很大條（他們也有提到，他們相信這完全是違法了）。

BTW，之前也有別家的網路攝影機爆出只要知道 IP，就可以繞過認證即時看其他人的影像。大家用這類東西真的要小心點。

建議大家可以聽完整個影片，真是有夠魔幻的。

而且 EUFY 還宣傳所有的資料都存在本地端，不會和雲端整合。光這一點，應該就可以告虛假宣傳了吧…

墳墓（Brian Hsu） : 5.這個應該是rtsp吧，沒有加密或認證還蠻正常的，其實有這個設計會比較好，可以只在本地端使用。像小米的攝影機就只能透過app雲端連結使用，那就讓使用者毫無選擇。

Ryan Ho : RTSP 也是可以有帳號密碼的。而且他講的是 remotely start a stream, no authentication, no no encryption，如果我英文沒有非常破而理解錯誤的話，就是攝影機直接在網上裸奔了，直接給人看光光自己家了。我實在不覺得這個設計能夠稱得上「好」。

(歪樓) 學了一個英語的俚語 Taint_(slang) 6:31 開始：有網友留言說「如果我的智慧體重計把我的○○跟╳╳的相片寄給中國政府，那算是壞事嗎？」 哈哈... 哈哈...

這裡有那個「完全不上鎖的API」的一個範例

Tech Youtuber Paul Moore recently dropped a concerni...

2好刺激啊！還有聽到辨識前後的影像都有上傳
是為了訓練ai？