ブランドオーナーの Anker 社は、Eufy カメラの重大なセキュリティ侵害の証拠に対してようやく反応を示したが、同社の公式声明では依然として多くの疑問が未解決のままとなっている。

同社は、セキュリティ研究者がこれが事実ではないことを証明した後、すべての映像と画像がローカルに保存され、クラウドに送信されたことはないとユーザーに嘘をついていたことを認めた…

背景

消費者向け家庭用セキュリティカメラにおける最大の進歩の一つは、顔認識技術の搭載です。単に動きを識別するだけでなく、カメラは人間と例えばペットを区別することができます。さらに、顔認識機能は、家族内で既知の人物が目撃された際に、不要なセキュリティアラートを送信するのを防ぎます。

ほとんどの顔認識技術はクラウドサーバー上で実行されますが、Anker社によると、Eufyカメラはデバイス自体で処理するため、画像をクラウドに送信する必要はありません。同社のウェブサイトでは、クラウドにデータを送信しないことが依然として明確に記載されています。

クラウドもコストもかかりません。つまり、あなた以外の誰もあなたのデータにアクセスできないということです。

Eufyカメラのセキュリティ侵害

ポール・ムーア氏は最近、アンカー社のプライバシーに関する主張は真実ではないという証拠を提示した。

ムーア氏は、クラウドストレージが無効になっている場合でも、Eufyカメラが「ローカルに保存されている」とされるデータをクラウドに送信しているという証拠を示しています[…]

ドアベルのカメラは、身元を特定できる情報を添付した顔認識データをEufyのクラウドサーバーにアップロードしていたが、関連映像がEufyアプリから削除された後も、このデータはEufyのサーバーから実際には削除されていなかった。ムーア氏は以下の動画で、Eufyが全く異なる2つのアカウントの異なるカメラから取得した顔認識データを用いて、それぞれのデータをリンクさせていたと指摘し、Eufyはユーザーにこのことを通知していないと指摘している。同社のマーケティングはむしろその逆を示唆している。

さらに悪いことに、別のユーザーは、認証なしで暗号化されていないライブビデオ映像を視聴できることを発見しました。

ユーザーは人気の VLC メディア プレーヤーを使用するだけでカメラのフィードにアクセスでき、ポール ムーア氏は (仕組みは示さずに) 暗号化や認証を必要とせずにストリームにアクセスできることを確認しました。

The Vergeもこれをさらに確認した。

同社は問題を部分的に認めている

Anker は今週、問題の一部を告白するブログ記事を公開したが、ユーザーデータは漏洩していないと主張した（強調は筆者）。

「eufy Securityはクラウドを利用してユーザーにモバイルプッシュ通知を送信します」

これは事実です。前述の通り、eufy Securityはセキュリティプロセスにおけるクラウドの使用を可能な限り削減することに取り組んでいます。しかしながら、現在も一部のプロセスでは、安全なAWSサーバーを使用する必要があります。

例えば、セキュリティプッシュ通知の場合、ユーザーがセキュリティ通知にサムネイルを含めることを選択した場合、セキュリティイベントの小さなプレビュー画像が当社の安全なAWSサーバーに送信され、その後ユーザーのスマートフォンにプッシュされます。この画像はエンドツーエンドの暗号化によって保護され、プッシュ通知の送信後すぐに削除されます。このプロセスは、すべての業界標準に準拠しています。

同社はまた、ユーザーデータが漏洩した事実を否定する一方で、ウェブポータルの脆弱性を認めた。

ユーザーデータは漏洩しておらず、オンラインで議論されている潜在的なセキュリティ上の欠陥は推測の域を出ません。しかしながら、改善すべき重要な領域がいくつかあったことは認識しています。そのため、認証機能に変更を加えました。

同社は、顔認識データがクラウドに送信されているという主張を否定し続けている。

多くの疑問が未解決のまま

The Verge は、この声明では重要な疑問をはじめ、多くの疑問が未解決のままになっていると述べている。

常にローカルで、常にエンドツーエンドで暗号化されているはずのカメラから、国の反対側にある VLC メディア プレーヤーで暗号化されていないストリームを視聴できるのはなぜでしょうか。

同サイトは、アンカー社に以下の長い追加質問リストを送った。

エンドツーエンドで暗号化されているはずのカメラが、なぜ暗号化されていないストリームを生成するのでしょうか?

どのような状況でビデオは実際に暗号化されるのでしょうか?

Eufy のデスクトップ Web ポータルなど、Eufy のサービスの他の部分は暗号化されていないストリームに依存していますか?

暗号化されていないストリームにアクセスできる期間はどのくらいですか?

暗号化されていないストリームを送信しないEufy カメラ モデルはありますか?

Eufyは暗号化されていないストリームの送信を完全に無効にする予定ですか？いつ、どのように？もしそうでないなら、その理由は何ですか？

そうでない場合、Eufy は顧客に対し、ストリームが実際にはエンドツーエンドで常に暗号化されているわけではないことを開示する予定でしょうか？いつ、どこで開示する予定でしょうか？

Eufy はストリーム URL をリバースエンジニアリングがより困難なものに変更しましたか？もし変更していないなら、Eufy は変更する予定はありますか？いつ変更しますか？

カメラが HomeKit Secure Video を使用している場合でも、暗号化されていないストリームにアクセスできますか?

「ZXSecurity17Cam@」は実際の暗号化キーであるというのは本当ですか？もしそうでないなら、なぜコード内で暗号化キーとしてラベル付けされ、2019年のGitHubリポジトリにも掲載されているのでしょうか？

サムネイルと暗号化されていないストリーム以外に、Eufy のカメラがクラウド経由でアクセスできる個人データや識別要素はありますか?

暗号化されていないストリームにアクセスできる可能性以外に、Eufy のサーバーがカメラにリモートで指示できることはありますか?

Eufy と Anker の従業員がこれらのストリームを利用できないのはなぜでしょうか?

Eufy はセキュリティに対処し、顧客に安心してもらうために、他にどのような具体的な対策を講じる予定ですか?

Anker 社は、これらの情報開示を受けて、自社の実務の監査を実施するために独立したセキュリティ企業を雇用しましたか？どの企業ですか？

Anker は、Eufy のプライバシー保護の取り組みに基づいてカメラを購入した顧客に払い戻しを提供する予定はありますか?

なぜ Anker は The Verge に対し、VLC のようなアプリでは暗号化されていないストリームを視聴することはできないと語ったのでしょうか?

eufy はビデオ録画を法執行機関と共有しますか?

第三者が Eufy カメラからのエンドツーエンドで暗号化されたビデオ ストリームを閲覧できたのは今回が初めてではありません。昨年 5 月にも同じことが起きています。

havebin.com を Google ニュース フィードに追加します。