モバイルバッテリー・充電機器から始まり、現在はワイヤレスイヤホンやスマートホーム製品など、多岐に渡す製品展開をしているAnkerのスマートホームブランド「Eufy」が販売するセキュリティカメラで、重大な欠陥(それとも意図したものかは分からないが)が見つかり、クラウドサービスの利用料を支払っていない場合でも、所有者の同意なしにユーザーの画像や情報をクラウドに送信していることを発見したとのことだ。
セキュリティ・コンサルタントのPaul Moore氏は、クラウド機能を無効にしているにもかかわらず、Eufy Doorbell Dual(日本では未発売)がクラウドにデータをアップロードしていることを発見した。Moore氏は、YouTubeに短いビデオをアップロードして、同氏が発見したセキュリティ上の欠陥について説明している。
ビデオの中でMoore氏は、Eufy HomeBaseをオフにした後でも、クラウドサービスにサインアップしていないにもかかわらず、Eufyウェブサイトは彼がアップロードした画像にアクセスできることを示した。さらに、同氏がEufyアプリから画像を削除した後も、その画像にアクセスすることができてしまっているのだ。
また、Eufyはアップロードの際に顔認識を使っているようで、Moore氏は、Eufyが複数のカメラやアプリから収集した顔認識データを、ユーザーの知らないうちに、あるいは同意なしに、ユーザーに結びつけることができると推測している。
公開後、Eufy社はMoore氏に連絡し、イベントとサムネイルをAmazon Web Servicesにアップロードしていることを確認した。ただし、URLは短期間しか利用できず、アカウントのログインが必要なため、データの流出はありえないとしている。
Moore氏が最後に指摘するのは、EufyのカメラストリームがVLCなどのアプリを使ってライブ視聴できることだが、これがどのように可能なのかについての情報は提供されていない。更に問題なのは、ストリームが暗号化されておらず、認証なしでアクセスできることで、これについて同氏は強い懸念を示している。
最初の投稿以降、Moore氏は、「Eufyの法務部門と長い議論を重ねた」と投稿している。また、「現段階では、調査や適切な対応をする時間を与えることが適切」とし、それ以上のコメントはできないとした。
これら、Eufy Doorbell Dualやクラウド機能は日本ではリリースされていないため、日本のユーザーはそこまで心配する内容でもないが、同社のセキュリティに関する取り組みとして、「データはローカルに保存され」、「安全な家から離れることはなく」、その映像は「エンドツーエンドの軍事レベルの暗号化でのみ送信される」ことを約束していた事から、その取り組みへの信頼が揺らぐ可能性も少なからずあるだろう。
ちなみに、Eufyがセキュリティの不備で非難を浴びるのは、今回が初めてではない。最も注目すべきは、2021年5月、同社の接続型セキュリティカメラの複数の所有者が、他人のEufyブランドのカメラのライブ映像や保存した映像記録にアクセスできるようになり、騒動になったこともあった。
