Havebin

Vision

AnkerはついにEufyセキュリティカメラの暗号化について嘘をついていたことを認めた

Havebin
qlamk
0 Comments
AnkerはついにEufyセキュリティカメラの暗号化について嘘をついていたことを認めた
AnkerはついにEufyセキュリティカメラの暗号化について嘘をついていたことを認めた
Eufyセキュリティカメラの暗号化 | Starlightカメラの表示

Ankerは、Eufyセキュリティカメラの暗号化に関する自社の声明が正確ではなかったことを認めました。このスマートホームブランドは以前、すべてのビデオ映像はエンドツーエンドで暗号化されていると発表していましたが、これに例外があったことを認めました(現在は修正済みです)。

同社は、 The Vergeが同社が質問に答えなかったことについて記事を掲載すると脅した後、ようやくプライバシー侵害について白状した…

背景

このセキュリティ上の欠陥は昨年12月に初めて発見されました。当時、あるユーザーが人気のVLCメディアプレーヤーを使用して暗号化されていない動画ストリームにアクセスできたのです。セキュリティ研究者がこれを確認し、さらにユーザーが許可を拒否したにもかかわらず、動画データがクラウドにアップロードされていたことも証明しました。

人気のVLCメディアプレーヤーを使用するだけで、ユーザーはカメラのフィードにアクセスすることができ、ポール・ムーア氏は(仕組みは示していないものの)暗号化や認証を必要とせずにストリームにアクセスできることを確認しました[…]

スレッドと付随するビデオの中で、ムーア氏は、クラウドストレージが無効になっている場合でも、Eufy カメラが「ローカルに保存される」とされるデータをクラウドに送信している証拠を示しています。

これは2021年に発生した同様のインシデントに続くもので、当時ユーザーは見知らぬユーザーのライブカメラ映像や録画映像を視聴できていました。Eufyはこれをバグによるものとし、影響を受けた「0.001%のユーザー」に連絡することを約束しました。

Eufyブランドの所有者であるAnkerは、12月の訴訟に対応するのにほぼ3週間を要し、その後、セキュリティに関する自社の主張は真実ではなかったことを部分的に認める声明を発表した。

ユーザーデータは漏洩しておらず、オンラインで議論されている潜在的なセキュリティ上の欠陥は推測の域を出ません。しかしながら、改善すべき重要な領域がいくつかあったことは認識しています。そのため、認証機能に変更を加えました。

Eufyセキュリティカメラの暗号化欠陥の認定

当時、The VergeはAnker社に回答を求める長々とした質問リストを掲載した。同誌は回答を得るのに苦労しているようで、回答は同社が回答を怠っているという記事を掲載すると脅す程度だった。

報道によると、アンカー社はこれまで否定してきた2つの事実をついに認めたという。1つ目は、同社のカメラは暗号化されていない映像を送信できるということ。2つ目は、暗号化されていない映像を送信する状況が1つあるということだ。

The Verge への一連の電子メールで、Anker はついに、Eufy セキュリティ カメラがネイティブでエンドツーエンドで暗号化されていないことを認めました。これらのカメラは、米国全土から通常のメディア プレーヤーを使用してアクセスしたビデオ ストリームと同様に、Eufy の Web ポータルに暗号化されていないビデオ ストリームを生成できますし、実際に生成していました。

理論(および同社の当初の主張)と現実の違いについても説明がつきました。

iPhoneとAndroidのコンパニオンアプリに送信された動画は、確かにエンドツーエンド暗号化(E2E)が使用されていました。このストリームを傍受した者は、動画を視聴することはできません。

ウェブに送信された録画映像についても同様で、これも E2E 暗号化が使用されていました。

しかし、ウェブに送信されたライブビデオストリームは暗号化されておらず、認証も行われていなかったため、リンクにアクセスした人なら誰でもストリーミング映像を視聴できる状態だった。

会社の約束

Anker は、再び誰かに信頼されるためには、やるべきことがたくさんあることにようやく気づいたようだ。

まず、同社はすべてのEufyカメラをリモートでアップデートし、暗号化された映像のみをウェブポータルに送信するとしている。

第二に、外部のセキュリティ企業に業務監査とペネトレーションテスト(コンサルタントがハッキング技術を用いてアクセスを試みるテスト)の実施を委託する。また、「著名なセキュリティ専門家」に独立した報告書の作成を依頼する予定だ。

最後に、セキュリティ研究者やハッカーが脆弱性を発見して報告することを奨励するバグ報奨金プログラムを作成します。

The VergeはAnkerの回答を全文公開した。

9to5Macの見解

古い諺にもあるように、無能さで十分に説明できるものを悪意のせいにしてはいけない。今回の欠陥の性質を考えると、同社が故意に嘘をついたり、誰かを誤解させたりしたわけではないと私は考える。むしろ、経営陣は、ほとんど誰も利用していない機能(動画ポータルでのライブ動画視聴)に重大な欠陥があったことに気づかなかったのだ。

しかし、それは言い訳にはなりません。不注意であろうとなかろうと、それは嘘をついたのです。防犯カメラ会社が、すべての映像はE2E暗号化なしではカメラから送信されないと約束するなら、その声明が100%正しいと確信しているはずです。それを事実だと信じるだけでは不十分です。

さらに許しがたいのは、会社の声明が虚偽であることが証明された後も、不正確な主張を続けることです。そのような場合、同じ保証を軽々しく繰り返すべきではありません。すぐに(これは簡単な作業です)、主張を検証し、認め、修正する必要があります。

アンカーがこれを行わなかったという事実は、私としては許しがたいことだ。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like