Ankerの「Eufy」がついにスマートカメラのプライバシー問題で「セキュリティ上の欠陥」を認める

by Eufy

Ankerの家電ブランドである「Eufy」のセキュリティカメラで、全てローカルで保存されているはずのデータがクラウドにアップロードされていたことなどが批判されていた問題で、Eufyが公式フォーラムでセキュリティ上の欠陥を認める回答を行いました。

To our eufy Security Customers and Partners - News - Eufy Security Collective
https://community.security.eufy.com/t/to-our-eufy-security-customers-and-partners/3568215

Anker’s Eufy breaks its silence on security cam security - The Verge
https://www.theverge.com/2022/12/20/23519772/anker-eufy-security-camera-statement-december-19-2022

Eufyのカメラ付きインターホンやスマートフォンアプリである「eufy Security」では、カメラが撮影した映像のサムネイルがクラウドにアップロードされていたことや、カメラ映像をメディアプレイヤーのVLCでストリーミング再生できたことなどが問題となったほか、この問題が判明した後にEufyのサイトからプライバシーに関する約束を説明なく削除したことが発覚し、海外メディアに大きく取り上げられました。

Eufyは、メディアに対して「コミュニケーション不足」を認める声明を送付しましたが、ユーザーからの問い合わせに対する回答文と文面が同じで核心的な問題にも言及していなかったことから、答えになっていないと批判されていました。

Ankerの「Eufy」がプライバシー問題で謝罪声明を発表するも「論点があっていないテンプレ回答」と批判されてしまう - GIGAZINE

その後、Eufyは公式フォーラムで「eufy Securityのお客様とパートナーへ」というタイトルの投稿を掲載し、その中でセキュリティカメラに関する問題について釈明しました。今回Eufyが公式に認めた不具合は大きく分けて2点で、そのうちの1つは「クラウドを使用する設定をしていなかったにもかかわらず、映像のサムネイルがクラウドで閲覧できた」という点です。

これについてEufyは「eufy Securityアプリでは、可能な限りクラウドの使用を減らすことに取り組んでいますが、一部のプロセスでは、私たちの安全なAWSサーバーを使用する必要があります」と述べて、クラウドを使用していたことを認めました。またアプリも修正され、プッシュ通知にサムネイルを含める設定を行うとクラウドが使用されることについての説明が表示されるようになっています。

2点目は、「eufy SecurityのWebポータル機能である『ライブビュー』にセキュリティ上の不具合があること」です。具体的には、ユーザーデータが流出したという一部報道は臆測に過ぎないと否定した上で、「いくつかの重要な改善すべき点があったことは認めます」と述べました。また、この問題への対応のため、今後ユーザーはポータル外でセキュリティカメラの映像をライブ再生したり、ライブ再生のためのアクティブリンクを他の人と共有したりできなくなりました。このほか、Eufyは顔認証情報がクラウドに送信されているとの疑念については明確に否定しました。

しかし、今回の声明文はエンドツーエンド暗号化で保護されているはずの映像が無料のメディアプレイヤーでストリーミングできたことや、カメラの映像を法執行機関と共有するかどうかといったプレイバシーに関する宣言を、何の説明もなくウェブサイトから削除したことなどについては説明されていません。

そのため、今回の対応を取り上げたIT系ニュースサイトのThe Vergeは、映像が暗号化されていなかった点や、具体的に何が暗号化されていて何が暗号化されていないのか、サムネイルや暗号化されていない映像以外でEufyのサーバーがカメラにリモートアクセスできるデータはあるのかなどについて追加で問い合わせて、引き続き不明な点を追及していくと述べました。