AnkerのEufyカメラがユーザーの同意なしにクラウドにコンテンツをアップロードしていたことが発覚、Ankerの回答は

AnkerのEufyカメラがユーザーの同意なしにクラウドにコンテンツをアップロードしていたことが発覚、Ankerの回答は

クラウド機能が有効でない場合でもサムネイルが自動的にクラウドにアップロードされる

Ankerの人気のEufyブランドのセキュリティカメラは、クラウドストレージが無効になっていて、ローカルストレージのみの設定がオンになっていても、一部のデータをクラウドに送信しているようです

この情報は、セキュリティコンサルタントのPaul Moore氏によるもので、同氏は先週、この問題の概要を説明する動画を公開しました

Moore氏によると、彼はEufy Doorbell Dualを購入しましたが、これはビデオ録画をデバイスに保存するためのデバイスでした、彼は、クラウド機能が有効になっていない場合、Eufyが顔のサムネイル画像とユーザー情報をクラウドサービスにアップロードしていることを発見しました

Moore氏は、カメラに自分の画像を撮影させ、Eufy HomeBaseをオフにすることで、無許可のクラウドアップロードを実演しています、彼はクラウドサービスに登録していませんでしたが、Webサイトはクラウドとの統合によってコンテンツにアクセスすることができ、映像がEufyアプリから削除されてもアクセス可能なままです

注意しなければならないのは、Eufyが自動的にストリーミング動画をクラウドにアップロードするのではなく、動画のキャプチャをサムネイルとして取得しているように見えることです

スポンサーリンク


サムネイルはEufyアプリでEufy基地局からのストリーミングビデオをアクティブ化するために使用され、Eufyユーザーは自宅以外の場所でビデオを視聴できるほか、リッチ通知を送信することもできます

問題は、クラウド機能が有効でない場合でもサムネイルが自動的にクラウドにアップロードされることで、Eufyもアップロードで顔認識を使用しているよう

Eufyはローカルのみのサービスを宣伝しており、よりプライベートなカメラソリューションを求めるユーザーに人気があるため、一部のユーザーは無許可のクラウドアップロードを問題視しています

Moore氏は、Eufyは2つの別々のカメラと2つの別々のアプリから収集した顔認識データを、カメラの所有者に気づかれることなくユーザーにリンクすることもできると示唆してい

Moore氏が強調した別の問題もあり、EufyのカメラストリームはVLCのようなアプリを使ってライブで見ることができるが、現時点ではエクスプロイトに関する情報はほとんどない。暗号化されていないEufyカメラのコンテンツは認証なしで
アクセスできるとMoore氏は述べており、これはEufyユーザーにとって憂慮すべきことです


スポンサーリンク

Ankerが、画像が収集される理由と今後の問題への対処方法を説明

ユーザーにモバイルデバイスへのプッシュ通知を提供するために、当社のセキュリティソリューションの一部は、動画の小さなプレビュー画像(サムネイル)を作成し、AWSベースのクラウドサーバーに簡単かつ安全にホストしています

これらのサムネイルは、サーバーサイドの暗号化を利用し、自動的に削除されるように設定されており、Apple Push NotificationサービスおよびFirebase Cloud Messagingの規格に準拠しています
ユーザーは、eufy Securityアカウントに安全にログインした後でのみ、これらのサムネイルにアクセスまたは共有することができます

eufy Securityアプリでは、テキストベースまたはサムネイルベースのプッシュ通知を選択できますが、サムネイルベースの通知を選択すると、プレビュー画像をクラウドで簡単にホストする必要があることが明確ではありませんでした

このようなコミュニケーション不足は、私たちの見落としであり、深くお詫び申し上げます。今後、この件に関するコミュニケーションを改善していく予定です

  • eufy Securityアプリのプッシュ通知オプションの文言を修正し、サムネイル付きのプッシュ通知には、クラウドに一時的に保存されるプレビュー画像が必要であることを明確に説明します
  • 消費者向けのマーケティング資料で、プッシュ通知にクラウドを使用することについて、より明確に説明する予定です

eufy Securityは、ユーザーのデータのプライバシーと保護に尽力しており、セキュリティ研究コミュニティがこの件に注意を促してくれたことに感謝しています

(Via MacRumors.)











LEAVE A REPLY

*
*
* (公開されません)