セキュリティ

AnkerのEufyブランドの防犯カメラで赤の他人のカメラを完全制御できてしまうバグが発生


Ankerの家電ブランドである「Eufy(ユーフィ)」のセキュリティカメラで、録画した動画や撮影中のライブ動画が赤の他人のアカウントで表示されてしまうというバグが報告されています。家の内外に設置されるセキュリティカメラはプライバシー要素の高い映像を撮影しているため、ユーザーから懸念の声が上がっています。

Access to Random Cameras in another country : EufyCam
https://www.reddit.com/r/EufyCam/comments/neayuo/access_to_random_cameras_in_another_country/

Eufy privacy breach leaks both live and recorded cam feeds - 9to5Mac
https://9to5mac.com/2021/05/17/huge-eufy-privacy-breach/

Eufy responds to huge privacy breach, attributes unauthorized camera access to server ‘bug’ - 9to5Mac
https://9to5mac.com/2021/05/17/eufy-privacy-breach-homekit/

Eufy製のセキュリティカメラに存在するバグの存在を報告したのは、海外掲示板・RedditのユーザーであるMeChum87さん。同氏がEufyの専用アプリを使って自身のセキュリティカメラで録画した動画をチェックしようとしたところ、自分の動画が存在しないことに気づいたそうです。MeChum87さんの動画の代わりに表示されていた動画は、カンガルーを映していたため、オーストラリアで使用されている「誰かのEufy製カメラ」が録画したものと思われます。

MeChum87さんによると、自身のアプリに表示されている誰かのアカウント情報をチェックすることが可能となっており、連絡先なども閲覧できる状態だったそうです。MeChum87さんは「私には3人の小さな子どもがいるため、赤の他人が私のカメラが撮影した動画を見ているのではないかと非常に心配しています」と語っています。


これに対して、「同じように他人のアカウントに配信されるはずのライブ動画が表示された」と報告しているユーザーもいます。このユーザーによると、ライブ動画や録画動画にアクセスできるだけでなく、カメラ自体の操作も可能となっており、パン・チルトしたり新しく録画を開始したりすることも可能になっていたそうです。

なお、Apple関連メディアの9to5Macの記者もEufy製のカメラで問題を確認したそうで、「すべての詳細、録音、ライブといったコンテンツをチェックすることができ、まるで他人のアカウントにログインしているかのようでした」と記しています。なお、アカウントからログアウトして再度ログインすると、自身のカメラへのアクセスが復元されたと9to5Macは報告しています。


9to5Macが今回のバグについてEufyにコメントを求めたところ、「現地時間の5月17日4時50分頃に行った最新のサーバーアップグレード中に起きたソフトウェアのバグにより、限られた数(0.001%)のユーザーが、他ユーザーのカメラからの動画フィードにアクセス可能となってしまいました。我々のエンジニアリングチームはサーバーアップデートから5時30分頃に問題を確認し、6時30分までに問題を修正しています。この問題はアメリカ・ニュージーランド・オーストラリア・キューバ・メキシコ・ブラジル・アルゼンチンのユーザーにわずかな影響をおよぼしたものの、ヨーロッパのユーザーは影響を受けていません。Eufyのカスタマーサービスチームは影響を受けた人々に引き続き連絡を取ります」という回答が返ってきています。Eufyは影響を受けたユーザーはごく一部であると強調しているわけです。

また、Eufyの説明によると赤ん坊見守り用製品スマートロックアラームシステムペット用製品は影響を受けていないとのこと。つまり、Eufy製のバッテリーカメラカメラ付きドアベルライト付きカメラ室内用セキュリティカメラといったカテゴリの製品が、バグの影響を受けた模様。

つまり、GIGAZINEでもレビューした室内用のセキュリティカメラである「Eufy IndoorCam Pan&Tilt 2K」は、バグの影響を受けた可能性があります。

5000円以下で2Kムービーの録画や動体検知も可能なAnkerの防犯カメラ「Eufy IndoorCam Pan&Tilt 2K」レビュー - GIGAZINE


Eufyは公式サイトおよびTwitterの公式アカウント上でもバグについて報告しており、「電源を抜き、アカウントからログアウトし、再度ログインすること」を推奨しています。ただし、バグの詳細については明らかになっていないため、9to5Macは「大規模なセキュリティ問題を、漠然とした『バグ』という単語だけで片付けてしまっているEufyは、今後信頼を得られるのでしょうか」と疑問を呈しています。

1.Please unplug and then reconnect the device.
2. Log out of the eufy security app and log in again.

For any questions, users can contact our support team at [email protected].

— Eufy (@EufyOfficial)


なお、Eufy製のセキュリティカメラにHomeKit Secure Video経由でアクセスしているユーザーは、今回のバグの影響を受けていないことも明らかになっています。

この記事のタイトルとURLをコピーする

・関連記事
5000円以下で2Kムービーの録画や動体検知も可能なAnkerの防犯カメラ「Eufy IndoorCam Pan&Tilt 2K」レビュー - GIGAZINE

Ankerの新家電ブランド「eufy(ユーフィ)」、新型ロボット掃除機など第1弾製品の販売がスタート - GIGAZINE

3万円台で購入可能なAnkerのロボット掃除機「Eufy RoboVac 30C」レビュー、前機種の「Eufy RoboVac 11S」からどこが進化したのか調べてみた - GIGAZINE

2万円台で購入可能なAnkerのロボット掃除機「Eufy RoboVac 11S」がどう進化したのか徹底的に調べてみた - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ハードウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.