セキュリティ

Anker・Eufyブランドのセキュリティデバイスがユーザーの同意なくコンテンツをクラウドにアップロードしていたことが判明


スマートホームデバイスブランド・Eufyの製品で、ユーザーの同意を得ることなく、撮影した写真や動画、顔や名前といった情報をクラウドにアップロードしている事例があったことがわかりました。


Anker's Eufy Cameras Caught Uploading Content to the Cloud Without User Consent [Updated] - MacRumors
https://www.macrumors.com/2022/11/29/eufy-camera-cloud-uploads-no-user-consent/

この問題に気付いたのは、Eufyのカメラ付きインターホン「Video Doorbell Dual」を使い始めたばかりだったセキュリティコンサルタントのポール・ムーア氏。使用していて、クラウド機能を利用していないにもかかわらず、撮影した映像のサムネイルやユーザー情報がクラウドにアップロードされていることに気付きました。

Eufyは公式サイトで、プライバシーを重視していることをうたっており、「データはローカルに保存される」と表記されていたため、ムーア氏は「サイトの表記は完璧にウソです」とツイート。


ムーア氏は「なぜサムネイルが勝手にクラウドにアップロードされているのか」とEufyに問い合わせましたが、返答は「クラウドストレージをサポートしていないことが伝わっていなくて失望させてしまい、大変残念です」とかなりズレた内容で、ムーア氏は「なんという茶番でしょうか」と、あきれたようなコメント。



このサムネイル画像はクラウド機能を利用しているユーザーが、データ保存デバイスであるEufy HomeBase経由でEufyのスマホ向けアプリから録画映像をストリーミング再生するときに用いられるもので、サムネイル画像が作られてアップロードされること自体はおかしくないのですが、問題はクラウド機能を利用していなくてもユーザーに知らせることなくアップロードされている点です。


以下は、ムーア氏がクラウド機能を切った状態でドアベルを利用したにもかかわらず、録画された映像がストリーミングで見られることを示した検証映像です。

Eufy leaking your "private" images/faces & names... to the cloud. - YouTube


ムーア氏からの報告を受けて他のユーザーが確認したところ、Eufyのカメラ映像をメディアプレイヤー・VLCでライブストリーミング視聴できたとの報告もあります。


なお、この件に関してムーア氏はEufyの法務部門との話し合いを行ったとのことで、「Eufyが社内調査を行って相応の対策を行う時間を与えることが適切で、むしろ私がこれ以上コメントすることは適切ではありません。可能な限り、最新情報をお伝えします。ありがとうございました」と報告しています。

この記事のタイトルとURLをコピーする

・関連記事
AnkerのEufyブランドの防犯カメラで赤の他人のカメラを完全制御できてしまうバグが発生 - GIGAZINE

セキュリティカメラのWyze Camに3年間誰でもアクセス可能だった脆弱性があったことが明らかに - GIGAZINE

Hikvision製ネットワークカメラの既知の脆弱性がハッカーに悪用されているとセキュリティ企業が警告 - GIGAZINE

テスラやCloudflareなどの監視カメラ15万台がハッキングされ映像が流出、企業だけでなく学校や病院なども被害に - GIGAZINE

・関連コンテンツ

in ハードウェア,   動画,   セキュリティ, Posted by logc_nt

You can read the machine translated English article here.