Ankerのセキュリティカメラ「Eufy」の動画がランダムに配信されプライバシーが丸見えに:カメラも自由に操作可能だった

eufy

中国の電子機器メーカーAnkerは、同社のセキュリティカメラ「Eufy」のユーザーの映像が世界中のランダムなアカウントのビデオストリームに誤って接続されてしまうバグが発生し、即時修正したと発表しました。

https://us.eufylife.com/collections/security

Ankerの広報担当者が発表したところによると、この問題は2021年5月14日早朝に行われたサーバーのアップグレードの際に発生したソフトウェアのバグが原因であるとのことです。

同社はこの問題が発生してから40分後にこの問題を検知し、さらに1時間後に修正したと述べています。

しかし、この問題は2時間以内に修正されたもののEufyカメラのユーザーがすでに確立されたセッションを維持したまま、他人のカメラ映像を見ることができる状態でした。

結果、この問題は同社のユーザーに大規模なパニックを引き起こし、ユーザーからはプライバシーが侵害されたとの批判が相次ぎ、大きな反発を受けています。

さらに悪いことに、「侵入者」はカメラを自由に操作してパンやズームを行うことができるほか、アカウントのデータを閲覧し、ユーザーの本名や自宅の位置などを知ることができ、デバイスの所有者に対する脅迫や恐喝に利用される可能性があると感じた人もいたようです。

警告:Eufy Security製品を直ちに電源OFFしてください。

他の人のカメラの映像がランダムに送られてきて、すべてのイベント記録にアクセスできました。この現象が起きたとき、私はまだ自分のアカウントにログインしていたので、アプリ自体のバグだと思われます。どうしてこんなことが可能なのか見当もつきません。

r/eufyとr/ankerにこの件についてスレッドを立てましたが、他の人からも同じことが起こったとの返信がありました。これが一時的なバグなのか何なのかはわかりませんが、これをうやむやにすることはできません。

私は自宅にあるすべてのeufyデバイスを切断しましたが、他の人たちも同じように切断することを強くお勧めします。なぜなら、他の人たちもアプリに見知らぬ人のビデオフィードをランダムに表示しているからです。

EDIT: 9to5Macがこの件を取り上げています: https://9to5mac.com/2021/05/17/huge-eufy-privacy-breach/

EDIT 2: r/eufycamのサブページでさらに詳しい情報をチェックしてください。これは世界的な出来事であり、多くのEufyユーザーが影響を受けているようです。

EDIT 3 Eufyからの公式ツイートから本日午前4時50分(米国東部標準時)に行われた最新のサーバーアップグレード中にソフトウェアバグが発生しました。当社のエンジニアリングチームは、米国東部標準時の午前5時30分頃にこの問題を認識し、米国東部標準時の午前6時30分までに迅速に修正しました」とした上で、ログアウトして再度ログインし、デバイスをリセットすることを推奨しています。

まったくもって非常識だ。

などEufyのRedditチャンネルに投稿したユーザー、数十人のユーザーが同社のセキュリティ侵害を訴えるために掲示板に書き込んでいます。

Eufyのユーザー間では、自宅や家族への不正アクセスや録画を防ぐためEufyのカメラの電源を切ったほうがいいと推奨しあっているようです。

しかし、Record Furetureに送信されたメールでは、同社はその必要はなくなったと述べています。問題が修正されたことで、AnkerはEufyカメラの所有者に、モバイルアプリの正しいデバイスへの接続を再確立する2つのステップを実行してほしいとしています。

すべてのユーザーへの推奨事項

機器の電源を切ってから再接続してください。
Eufyセキュリティアプリからログアウトし、再度ログインしてください。

https://therecord.media/a-botched-server-upgrade-exposed-eufy-video-camera-feeds-to-random-users/

Leave a Reply

Your email address will not be published.