アンバー・ニーリー
· 2分で読めます
セキュリティ研究者が、Anker の Eufy セキュリティ カメラが、ユーザーがクラウド サブスクリプション料金を支払っていなくても、所有者の同意なしにユーザーの画像や情報をクラウドに送信していることを発見しました。
セキュリティコンサルタントのポール・ムーア氏は、クラウド機能を無効にしていたにもかかわらず、Eufy Doorbell Dualがデータをクラウドにアップロードしていることを発見しました。ムーア氏は、発見した内容を説明する短い動画をYouTubeにアップロードしました。
動画の中でムーア氏は、Eufy HomeBaseの電源を切った後でも、クラウドサービスに登録していないにもかかわらず、Eufyのウェブサイトからアップロードした画像にアクセスできることを実証しています。さらに、ムーア氏がEufyアプリから画像を削除した後でも、その画像にアクセスできる状態が続いています。
興味深いことに、Eufy はビデオをビデオとしてアップロードしているのではなく、一連のサムネイルとして アップロードしているようです。
Eufyはアップロード時に顔認識技術も利用しているようだ。ムーア氏は、Eufyが複数のカメラやアプリから収集した顔認識データを、ユーザーの知らないうちに、あるいは同意なしに、ユーザーに紐付けることができるのではないかと推測している。
情報開示後、Eufyはムーア氏に連絡を取り、イベントとサムネイルをAmazon Web Servicesにアップロードしていることを確認した。しかし、同社はURLが短期間しか利用できず、アカウントへのログインも必要であるため、データが漏洩する可能性はないとしている。
ムーア氏が最後に指摘した問題は、EufyカメラのストリーミングはVLCなどのアプリを使ってライブ視聴できる点だが、その仕組みについては明らかにしていない。さらに懸念すべきことに、ムーア氏はストリーミングは暗号化されておらず、認証なしでアクセスできる点を指摘している。
ムーア氏は最初の投稿以来、「ユーフィの法務部門と長時間にわたる協議を行った」と投稿している。また、「現段階では、調査と適切な措置を講じるための時間を与えるのが適切だ」と述べ、これ以上のコメントはできないとした。
Eufyがセキュリティ上の不備で非難を浴びるのは今回が初めてではありません。特に注目すべきは、2021年5月にEufyカメラのユーザーが、自分のカメラで表示されるはずの映像ではなく、他のユーザーが所有するカメラの映像がアプリ上で閲覧可能であることに気づいたことです。また、不正なアクセスを許可されたユーザーによって設定が変更される可能性がありました。
