Ankerのスマートホームブランド「Eufy」が海外で展開しているセキュリティカメラのセキュリティがガバガバであるとして問題になっているが、どうやら同社は問題を修正するのではなく、通知のタイミングを変更するという斜め上の対応を行っているようだ。
問題は、11月下旬、セキュリティ研究者が、AnkerのEufyセキュリティカメラが、所有者の同意なしに、ユーザーの画像や情報をクラウドに送信していることを発見し、報告したことが発端となり発覚した。このアップロードは、有料のクラウドサービスを契約していないユーザーにも起こってしまう事象であり、重大なセキュリティリスクと見なされていた。
これを受けてEufyは、App StoreのリストとEufy Securityアプリに、ユーザーが特定の通知オプションを選択した場合にクラウドサービスが関与するタイミングを開示する記述を追加した。
Eufy Securityアプリには、通知に関するいくつかのオプションがある。例えば、ユーザーは、通知でテキストのみを表示するか、テキストとカメラのサムネイル画像を表示するかを選択できる。ユーザーがサムネイルオプションを選択した場合、Eufy は画像をクラウドにアップロードするのだ。
ZDnetが指摘するように、問題はEufyが画像をクラウドにアップロードしていたことではなく、そうしていることをユーザーに通知していなかったことである。
しかし、Eufyは、同社のシステムで見つかったもう一つの大きなセキュリティホールを依然として否定している。同社はThe Vergeを含む複数の出版社に対し、複数の研究者やジャーナリストが何度も別の証明をしているにもかかわらず、「VLCなどのサードパーティ製プレイヤーを使ってストリームを開始し、ライブ映像を見ることは不可能である」と述べている。
Eufyのセキュリティ上の不都合は、今回が初めてではない。2021年5月、Eufyのカメラのユーザーは、他のユーザーが所有するカメラが、自分のカメラから見えると思っていたものではなく、自分のアプリで見ることができ、偽のアクセスを与えられた者によって設定が変更される可能性があることを発見している。
同社がWebサイトで高らかに宣言しているレベルのセキュリティは、ひいき目に見ても備えていないと言えるのではないだろうか。
