セキュリティ

Amazonで購入可能なスマートドアベルに簡単にハッキングが可能になる致命的なセキュリティ欠陥があることが判明


スマートフォンを用いて来訪者との応答ができたり、録画機能を搭載しセキュリティカメラとして利用できたりするスマートインターホンは、Amazonなどの通販サイトで数多く販売されています。しかし、一部のスマートインターホンはセキュリティに欠陥を抱えており、消費者組織のコンシューマーズ・ユニオンが発行する月刊誌「コンシューマー・レポート」が、一部のスマートインターホンに、ハッカーがボタンを押すだけでカメラを乗っ取ることができる脆弱(ぜいじゃく)性が存在することを指摘しています。

Video Doorbells Sold By Big Retailers Have Major Security Flaws - Consumer Reports
https://www.consumerreports.org/home-garden/home-security-cameras/video-doorbells-sold-by-major-retailers-have-security-flaws-a2579288796/


Popular video doorbells can be easily hijacked, researchers find | TechCrunch
https://techcrunch.com/2024/02/29/popular-video-doorbells-eken-tuck-hijacked-researchers/

$30 doorbell cameras can be easily hijacked, says Consumer Reports | Ars Technica
https://arstechnica.com/gadgets/2024/02/report-cheap-doorbell-cameras-leak-still-images-and-allow-for-easy-takeover/

コンシューマー・レポートが報告したスマートインターホンは、中国の深圳に拠点を置く「EKEN」が製造したもの。AmazonやウォルマートTemuなどのネット通販サイトで、およそ30ドル(約4500円)で購入できます。


コンシューマー・レポートによると、当該製品はセットアップ時に「Aiwit」というアプリを用いますが、「『Aiwit』をインストールし、製品のボタンを8秒間長押しして『ペアリングモード』に入ると、カメラを乗っ取ることが可能」というセキュリティ上の欠陥を抱えているとのこと。


具体的な方法としてコンシューマー・レポートは、「悪意を持ったユーザーがアプリで自身のアカウントを作成し、アプリ上に表示されるQRコードをインターホンのカメラに向けスキャンすると、そのインターホンを自身のアカウントに追加できるようになり、デバイスの制御が可能になる」と説明しています。

加えてコンシューマー・レポートは「暗号化せずにインターネット経由でパブリックIPアドレスとWi-FiのSSIDを送信する」「カメラのシリアル番号を把握されると、ビデオフィードやその他の情報から静止画像にアクセスされてしまう」との脆弱性を指摘しています。また、EKENのスマートインターホンはアメリカ連邦通信委員会(FCC)による認証を受けていないことも指摘されています。


コンシューマー・レポートの技術ポリシーディレクターであるジャスティン・ブルックマン氏は「EKENのスマートインターホンには、深刻なセキュリティとプライバシーの問題があり、Amazonやウォルマートなどの主要なオンラインマーケットプレイスに出回っています。スマートインターホンを販売するメーカーとプラットフォームの両方にこれらの製品が消費者を危険にさらさないようにする責任があります」と述べました。

コンシューマー・レポートはこのスマートインターホンの販売を行っている各種プラットフォームに対して警告を発しました。Temuの広報担当者であるトリ・シューベルト氏は「Temuでは、これらの製品がFCC認証やその他の関連規格に準拠していることを確認するために、徹底的なレビューを行いました。その結果、私たちは全ての関連製品をプラットフォームから削除しました」と報告しています。


また、ウォルマートの広報担当者であるジョン・フォレスト氏は海外メディアのTechCrunchに対し「ウォルマートではEKENのスマートインターホンの販売を停止しました」と語っています。一方でコンシューマー・レポートは「似たような外観の同様のスマートインターホンは依然としてウォルマートで入手可能です」と指摘しました。

なお、コンシューマー・レポートからの指摘に対し、EKENはコメントを残していません。

この記事のタイトルとURLをコピーする

・関連記事
Amazonが顧客の監視カメラの映像をユーザーの許可も令状も無しに開示 - GIGAZINE

Ankerの「Eufy」がついにスマートカメラのプライバシー問題で「セキュリティ上の欠陥」を認める - GIGAZINE

Ankerが「Eufy」のセキュリティカメラで映像が適切に暗号化されていなかったことを認め欠陥を修正したと報告 - GIGAZINE

顧客のカメラ映像を従業員が勝手に見ていた問題でAmazon傘下の監視カメラ企業Ringが8億円超の和解金支払いへ - GIGAZINE

Googleのスマートドアベル「Google Nest Doorbell」使用レビュー、置き配確認や自分の代わりに来客応対してくれる便利機能をチェック - GIGAZINE

in ハードウェア,   セキュリティ, Posted by log1r_ut

You can read the machine translated English article here.