ここ数週間、Ankerのセキュリティカメラブランド「Eufy」のセキュリティカメラとビデオドアベルに、ユーザーの意図に反して動画をアップロードすると言うセキュリティ上の重大なリスクが明らかになり、またプライバシーに関する宣伝文句を静かに削除するなど、Eufyのプライバシーへの姿勢が疑問視される行動が見られたが、同社はその後沈黙を貫いていた。

本日、Eufyはこれらの問題をようやく公に認めたが、その一方で、いくつかの重要な点を軽視している事も指摘されている。

Ankerは、同社のEufy コミュニティフォーラムに投稿された「eufy Securityのお客様とパートナーの皆様へ」と題するメッセージの中で、過去数週間に発見された様々な問題点を公に認めている。

まず、Eufyが、AndroidやiOS経由でユーザーにプッシュ通知を送信するために、当初は別のマーケティングを行っていたにもかかわらず、クラウドを使用していることを改めて明らかにした。同社は当初、カメラを「ローカル専用」として販売し、データがクラウドに送信されることは一切明かさなかった。この新しい投稿で述べたように、Eufy Securityアプリはその後、その開示を含むように更新され、「ローカル専用」という主張を同社のWebサイトからも削除している。以下、Eufyの説明を転載する。

eufy Securityアプリは、可能な限りセキュリティプロセスにおけるクラウドの使用を減らすことを約束しています。しかし、今日でも一部のプロセスでは、私たちの安全なAWSサーバーを使用する必要があります。

例えば、セキュリティのプッシュ通知の場合、ユーザーがそのセキュリティ通知にサムネイルを含めることを選択した場合、セキュリティイベントの小さなプレビュー画像は、当社の安全なAWSサーバーに送信され、その後ユーザーの携帯電話にプッシュされます。この画像はエンドツーエンドの暗号化によって保護され、プッシュ通知が送信された後すぐに削除されます。このプロセスは、すべての業界標準に準拠しています。

eufy Securityアプリを更新し、さまざまなプッシュ通知オプションと、どのオプションが当社の安全なAWSサーバーを使用する必要があるかについて、より詳細な説明を加えました。これにより、ユーザーの皆様がより多くの情報を得た上で決断することができるようになります。

Eufy

ご覧になればお分かりのように、Eufyの投稿では、大きな問題に対する謝罪や認識が全く含まれていない。Eufyは、顔認識と生体認証の処理は「ローカルで完結」し、「クラウドで処理されることはない」と大々的に宣伝した中で、実際はそうでなかったとセキュリティ研究者がそうではないと指摘したにもかかわらずと言う事で、完全にスルーしている形だ。

また、複数のユーザーやジャーナリストがVLC Media PlayerでEufyのカメラからのライブストリームを見ることができたことについても認めておらず、同社はその可能性を否定し続けている。The Vergeが指摘するように、この投稿には「eufy [Security] のウェブポータル上のライブビュー機能にはセキュリティ上の欠陥がある」と太字で直接書かれているが、Eufyが実際にこれを誤りだとは述べていない。投稿には、同社が「この機能を強化する方法を引き続き検討する」とだけ書かれている。

ただし、Eufyは、この投稿と、この状況全体に関する質問への回答が、あまりにも遅すぎたことは認めている。同社は、「このような問題については、よりわかりやすく、タイムリーなコミュニケーションが必要であることは承知しています」と述べている。