Eufy の「安全な」カメラはそれほど安全ではない可能性があります

セキュリティに熱心な人なら、Eufy カメラなどのホーム セキュリティに投資したことがあるかもしれません。 これらのカメラは高価ではありますが、遠隔地に映像を保存しないという点で特別です。 クラウドベースのサーバー。クラウドストレージの料金を支払いたくない場合は、ピアツーピアベースで動作します。 別々に。 しかし、セキュリティ研究者の Paul Moore は、サムネイルと顔が Eufy サーバーに保存されていることを発見しました。 Eufy は Anker が所有する会社です。

ムーア氏は YouTube ビデオで、Eufy Homebase 2 の電源がオフの場合でも、Eufy のサーバーに保存されているカメラ録画のサムネイルを表示できる方法を紹介しました。 同様に、映像内で特定された顔も見ることができ、それらも Eufy が管理する AWS サーバーに保存されます。 これらの画像は 24 時間後に削除されるようですが、ムーア氏のような消費者が誤解されていると感じているという事実は変わりません。 Eufy がプライバシーがその運営の中心であると頻繁に述べていることを考えると、ムーア (および他の消費者) がそう感じるのは理解できます。

以下の引用は、Amazon の Eufy 製品説明から引用したものです。

あなたのプライバシーは、あなたと同じように私たちも大切にしています。 まず、お客様のデータのプライバシーを確​​保するために、考えられるあらゆる措置を講じています。 生まれたばかりの赤ちゃんがお母さんを求めて泣いているときでも、試合後の勝利のダンスでも、録画した映像はプライベートに保たれます。 ローカルに保存されます。 軍事レベルの暗号化を使用します。 そしてあなたに、そしてあなただけに伝えられます。 それは、お客様、ご家族、プライバシーを保護するという当社の取り組みの始まりにすぎません。

ムーアはまた、映像が削除された後も、これらの画像が Eufy が管理するサーバーにどのように保持されるかを説明しました。 さらに驚くべきことは、認証なしでカメラからリアルタイム メッセージング プロトコル (RTMP) ストリームを表示できる方法について彼が話したということです。 同氏は、外部ネットワークからそれが可能かどうか、あるいはこのストリームにアクセスするには誰かがカメラと同じネットワーク上にいる必要があるかどうかについては明らかにしなかった。 同氏はこの機能の証拠を示さなかったことは認めているが、これはそのような脆弱性が公に実証される潜在的な危険性のためだと述べた。

さらに悪いことに、ムーア氏は、ビデオは「ZXSecurity17Cam@」というハードコードされたセキュリティ キーを使用して暗号化されて保存されていると述べました。 彼はローカルで復号化されたことを確認しました. 見つけました 2019 年からの Python ライブラリの非公式 GitHub リポジトリ Eufy デバイスの場合は、同じ暗号化キーを参照しており、これは、世の中にある複数の Eufy カメラに当てはまることを示唆しています。

ユフィが答える

ムーア氏は以前にユーフィ氏に連絡し、その返答をツイッターで共有していた。 同社は電子メールの中で、これらの画像を自社のサーバーに保存していることを認め、有効期限が24時間であることを指摘した。 同社は、APIに暗号化を追加すると述べ、ムーア氏にHomebase 3デバイスをテストする機能を提供した。

これが何を意味するかについては、結論が出るまでは状況を総合的に判断することは困難です。 私たちは会話の双方に連絡を取りましたが、今のところ返事はありません。 ムーア氏は同社の法務部門と話しており、現時点ではそれ以上のコメントはしないと述べているため、我々も必ずしも返答を期待しているわけではない。

Eufy 製品をどうするか

Eufy 製品をお持ちで、プライバシーの観点から懸念がある場合は、プラグを抜いて次に何が起こるか様子を見てみる価値があるかもしれません。 Eufyが具体的に何をしているのかは不明であり、関係者からのさらなるコメントがなければ、消費者がどの程度心配する必要があるかを言うのは難しい。 多くの消費者が誤解を感じていることは明らかだが、現時点ではどの程度なのかは明らかではない。

この事件が長引くにつれて、私たちは必ず最新情報を更新するつもりであり、消費者の懸念を和らげるために、Eufy が近い将来声明を発表することを期待しています。