2022年11月30日 13時20分セキュリティ

Anker・Eufyブランドのセキュリティデバイスがユーザーの同意なくコンテンツをクラウドにアップロードしていたことが判明

スマートホームデバイスブランド・Eufyの製品で、ユーザーの同意を得ることなく、撮影した写真や動画、顔や名前といった情報をクラウドにアップロードしている事例があったことがわかりました。

.@EufyOfficial - Couple of Q's

Why is my "local storage" #doorbellDual storing every face, without encryption, to your servers?

Why can I stream my camera without #authentication?!

But crucially, is this really the AES key for my video footage? Please tell me it's not. pic.twitter.com/uV70koBjLk
— Paul Moore (@Paul_Reviews)

Anker's Eufy Cameras Caught Uploading Content to the Cloud Without User Consent [Updated] - MacRumors
https://www.macrumors.com/2022/11/29/eufy-camera-cloud-uploads-no-user-consent/

この問題に気付いたのは、Eufyのカメラ付きインターホン「Video Doorbell Dual」を使い始めたばかりだったセキュリティコンサルタントのポール・ムーア氏。使用していて、クラウド機能を利用していないにもかかわらず、撮影した映像のサムネイルやユーザー情報がクラウドにアップロードされていることに気付きました。

Eufyは公式サイトで、プライバシーを重視していることをうたっており、「データはローカルに保存される」と表記されていたため、ムーア氏は「サイトの表記は完璧にウソです」とツイート。

This is a complete lie @EufyOfficial

My recorded footage is being uploaded to your CDN. Every face, every false trigger, literally everything is being uploaded despite cloud storage being off!

It may be "stored locally" - but you negate to say it's uploaded too. https://t.co/bRFgUxCeIF pic.twitter.com/JGzZRiwK1G
— Paul Moore (@Paul_Reviews)

ムーア氏は「なぜサムネイルが勝手にクラウドにアップロードされているのか」とEufyに問い合わせましたが、返答は「クラウドストレージをサポートしていないことが伝わっていなくて失望させてしまい、大変残念です」とかなりズレた内容で、ムーア氏は「なんという茶番でしょうか」と、あきれたようなコメント。

Quality support too @EufyOfficial

I didn't say it doesn't support cloud storage! I said it uploaded to the cloud without my permission - and YOU said it didn't support cloud, which it does.

Dear me, what a farce. https://t.co/bRFgUxCMyd pic.twitter.com/FelLmxRa6B
— Paul Moore (@Paul_Reviews)

このサムネイル画像はクラウド機能を利用しているユーザーが、データ保存デバイスであるEufy HomeBase経由でEufyのスマホ向けアプリから録画映像をストリーミング再生するときに用いられるもので、サムネイル画像が作られてアップロードされること自体はおかしくないのですが、問題はクラウド機能を利用していなくてもユーザーに知らせることなくアップロードされている点です。

以下は、ムーア氏がクラウド機能を切った状態でドアベルを利用したにもかかわらず、録画された映像がストリーミングで見られることを示した検証映像です。

Eufy leaking your "private" images/faces & names... to the cloud. - YouTube

ムーア氏からの報告を受けて他のユーザーが確認したところ、Eufyのカメラ映像をメディアプレイヤー・VLCでライブストリーミング視聴できたとの報告もあります。

So trying to gain visibility, as an owner of a Eufy product this is incredibly disappointing but apparently you can play camera streams via VLC pic.twitter.com/cCYF7KgKvi
— Wasabi Burns [email protected] (@spiceywasabi)

なお、この件に関してムーア氏はEufyの法務部門との話し合いを行ったとのことで、「Eufyが社内調査を行って相応の対策を行う時間を与えることが適切で、むしろ私がこれ以上コメントすることは適切ではありません。可能な限り、最新情報をお伝えします。ありがとうございました」と報告しています。

Just had a lengthy discussion with @EufyOfficial's legal department.

It's appropriate at this stage to give them time to investigate and take appropriate action; conversely, it's not right for me to comment further.

I will provide an update, as & when possible. Thanks!
— Paul Moore (@Paul_Reviews)

この記事のタイトルとURLをコピーする

・関連コンテンツ

2022年11月30日 13時20分00秒 in ハードウェア, 動画, セキュリティ, Posted by logc_nt

You can read the machine translated English article here.