MENU
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
あなたの好奇心を刺激する、テクノロジー・科学の最新ニュースサイト | TEXAL
TEXAL
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
  • テクノロジー
  • サイエンス
  • モバイル
  • エンタメ
  • ゲーム
TEXAL
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
  1. ホーム
  2. セキュリティ
  3. Ankerのスマートカメラ「Eufy」に深刻なセキュリティ上の欠陥が発見 – 所有者の同意なしにユーザーの画像と情報をクラウドに送信していた模様

Ankerのスマートカメラ「Eufy」に深刻なセキュリティ上の欠陥が発見 – 所有者の同意なしにユーザーの画像と情報をクラウドに送信していた模様

2022 12/01
セキュリティ
2022年12月1日

スポンサーリンク

モバイルバッテリー・充電機器から始まり、現在はワイヤレスイヤホンやスマートホーム製品など、多岐に渡す製品展開をしているAnkerのスマートホームブランド「Eufy」が販売するセキュリティカメラで、重大な欠陥(それとも意図したものかは分からないが)が見つかり、クラウドサービスの利用料を支払っていない場合でも、所有者の同意なしにユーザーの画像や情報をクラウドに送信していることを発見したとのことだ。

Source
  • 9to5Google: Eufy caught lying about local-only security cameras with footage sent to cloud, accessible in unencrypted streams

セキュリティ・コンサルタントのPaul Moore氏は、クラウド機能を無効にしているにもかかわらず、Eufy Doorbell Dual(日本では未発売)がクラウドにデータをアップロードしていることを発見した。Moore氏は、YouTubeに短いビデオをアップロードして、同氏が発見したセキュリティ上の欠陥について説明している。

ビデオの中でMoore氏は、Eufy HomeBaseをオフにした後でも、クラウドサービスにサインアップしていないにもかかわらず、Eufyウェブサイトは彼がアップロードした画像にアクセスできることを示した。さらに、同氏がEufyアプリから画像を削除した後も、その画像にアクセスすることができてしまっているのだ。

また、Eufyはアップロードの際に顔認識を使っているようで、Moore氏は、Eufyが複数のカメラやアプリから収集した顔認識データを、ユーザーの知らないうちに、あるいは同意なしに、ユーザーに結びつけることができると推測している。

公開後、Eufy社はMoore氏に連絡し、イベントとサムネイルをAmazon Web Servicesにアップロードしていることを確認した。ただし、URLは短期間しか利用できず、アカウントのログインが必要なため、データの流出はありえないとしている。

Moore氏が最後に指摘するのは、EufyのカメラストリームがVLCなどのアプリを使ってライブ視聴できることだが、これがどのように可能なのかについての情報は提供されていない。更に問題なのは、ストリームが暗号化されておらず、認証なしでアクセスできることで、これについて同氏は強い懸念を示している。

Ah well, the cats out the bag now… so may as well tell you.

You can remotely start a stream and watch @EufyOfficial cameras live using VLC. No authentication, no encryption.

Please don't ask for a PoC – I can't release this one.

Heads up @TechLinkedYT @LinusTech https://t.co/sU3FyRaELX

— Paul Moore (@Paul_Reviews) November 25, 2022

最初の投稿以降、Moore氏は、「Eufyの法務部門と長い議論を重ねた」と投稿している。また、「現段階では、調査や適切な対応をする時間を与えることが適切」とし、それ以上のコメントはできないとした。

これら、Eufy Doorbell Dualやクラウド機能は日本ではリリースされていないため、日本のユーザーはそこまで心配する内容でもないが、同社のセキュリティに関する取り組みとして、「データはローカルに保存され」、「安全な家から離れることはなく」、その映像は「エンドツーエンドの軍事レベルの暗号化でのみ送信される」ことを約束していた事から、その取り組みへの信頼が揺らぐ可能性も少なからずあるだろう。

eufy security
Eufyのセキュリティコミットメント (Credit: Anker)

ちなみに、Eufyがセキュリティの不備で非難を浴びるのは、今回が初めてではない。最も注目すべきは、2021年5月、同社の接続型セキュリティカメラの複数の所有者が、他人のEufyブランドのカメラのライブ映像や保存した映像記録にアクセスできるようになり、騒動になったこともあった。

TEXALでは、テクノロジー、サイエンス、ゲーム、エンターテインメントなどからその日の話題のニュースや、噂、リーク情報、レビューなど、毎日配信しています。最新のニュースはホームページで確認出来ます。Googleニュース、Twitter、FacebookでTEXALをフォローして、最新情報を入手する事も出来ます。記事の感想や、お問い合わせなども随時受け付けています。よろしくお願いいたします。

スポンサーリンク

セキュリティ
Anker Eufy カメラ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする コメントをキャンセル

CAPTCHA


スポンサーリンク
今読まれている記事
人気のタグ
AI Amazon AMD Android Apple CPU DJI Google GPU Intel iOS iPhone iPhone 14 Pro Mac Meta Microsoft NASA Nintendo Switch NVIDIA PCゲーム PS5 Qualcomm Samsung SNS Sony The Conversation TSMC Twitter VR Windows XR アップデート ガジェット ゲーム サブスクリプション スマートフォン ドローン ベータテスト 乗り物 半導体 噂 天文学 宇宙 自動車 量子コンピュータ
PVアクセスランキング にほんブログ村
スポンサーリンク
  • テクノロジー
  • サイエンス
  • モバイル
  • エンタメ
  • ゲーム