Ring的新安全性“控制中心”还远远不够

 
在密西西比州一家家庭起诉亚马逊拥有的智能相机制造商Ring的同一天，该公司没有采取足够的措施阻止黑客监视孩子，该公司已推出了先前宣布的“控制中心”，希望它会让您忘记关于其可验证的“糟糕”安全实践。
Ring在星期四发布的博客中说，新的“控制中心”“授权”客户管理其安全性和隐私设置。
环网用户可以查看是否已启用两因素身份验证，从帐户中添加和删除用户，查看哪些第三方服务可以访问其环网摄像头，并选择不让警察访问其用户的录像而无需同意。
但是，深入了解一下，Ring的最新更改实际上仍然无济于事，无法更改其一些最基本但受到高度批评的安全实践。
几个月前，在黑客被抓破Ring摄像头并远程观看小孩并与之交谈之后，人们对这些做法提出了疑问。黑客使用以前被破坏的电子邮件地址和密码(一种称为凭据填充的技术)来入侵帐户。这些凭证中的一些凭证，其中许多很简单且容易猜到，后来在黑暗的网络上发布。
但是，Ring仍未采取任何措施来缓解这一最基本的安全问题。
TechCrunch在Ring的注册页面上运行了多个密码，发现我们可以输入任何容易猜到的密码，例如“ 12345678”和“ password”，它们连续几年一直被评为一些最常见的密码。
为了解决该问题，Ring表示用户当时应启用两因素身份验证，该安全功能会添加一项额外的检查功能，以防止帐户外泄(例如密码喷雾)，在这种情况下，黑客会使用一系列常用密码来试图以暴力破解自己的方式入帐。
但是Ring仍然使用弱形式的两因素身份验证，通过短信向您发送代码。短信不安全，可能会因拦截和SIM交换攻击而受到威胁。甚至政府的技术标准机构NIST也已弃用基于文本消息的两因素支持。专家说，尽管基于文本的两个因素总比不使用它要好，但它的安全性远不如基于应用程序的两个因素，后者通过加密连接将代码传递到手机上的应用程序。
Ring表示，它将在今年晚些时候强制实施其双重身份验证功能，但尚未透露将来是否会支持基于应用程序的双重身份验证。
这家智能相机制造商还因其与执法部门的友好关系而受到批评，执法部门对此感到关注，并要求答案。
借助环网，警察无需传票或手令即可访问用户的视频。 (与母公司亚马逊不同，Ring仍未发布警察要求访问客户视频的次数，无论有没有法律要求。)
Ring现在表示，其控制中心将允许用户决定警察是否可以访问他们的视频。
但是，不要被Ring的承诺愚弄，警察“除非您明确选择通过响应特定的视频请求来共享它们，否则警察将看不到您的视频记录。”警察仍然可以得到搜查令或法院命令来获取您的视频，如果警察可以有合理的理由表明其中可能包含犯罪证据，则并不是特别困难。
Ring或其他任何智能家居制造商都无法阻止对客户数据提供零知识的方法，其中只有用户拥有加密密钥才能访问其数据。如果它真正关心用户的安全和隐私，那么将自身(以及其他所有人)排除在循环之外将是它唯一可以做的有意义的事情。该公司必须决定这种权衡是否值得-为用户提供真正的隐私权，而不是失去对用户数据的访问权，这将有效地削弱其与警察部门的持续合作。
Ring说安全和隐私“一直是我们的头等大事。”但是，如果它不愿意在基础上工作，那么它的用词只不过是空洞的承诺。