セキュリティ研究者は、Anker の Eufy セキュリティ カメラが、ユーザーがクラウド サブスクリプションの料金を支払っていない場合でも、所有者の同意なしにユーザーの画像と情報をクラウドに送信していることを発見しました。

セキュリティ コンサルタントの Paul Moore は、クラウド機能を無効にしているにもかかわらず、Eufy Doorbell Dual がデータをクラウドにアップロードしていることを発見しました。ムーア氏は、発見したことを強調するために短いビデオを YouTube にアップロードしました。

ビデオの中でムーア氏は、Eufy HomeBase をオフにした後でも、クラウド サービスにサインアップしていないにもかかわらず、アップロードした画像に Eufy Web サイトからアクセスできる様子を示しています。さらに、ムーアが Eufy アプリから画像を削除した後でも、画像には引き続きアクセスできます。

興味深いことに、Eufy がビデオをアップロードしているようには見えませんとしてビデオではなく、一連のサムネイルとして。

Eufy はアップロード時に顔認識も使用しているようです。ムーア氏は、Eufy は、ユーザーの知識や同意なしに、複数のカメラやアプリから収集した顔認識データをユーザーにリンクできるのではないかと推測しています。

開示後、Eufy は Moore に連絡して、Amazon Web Services にイベントとサムネイルをアップロードしていることを確認しました。しかし同社は、このURLは短期間しか利用できず、アカウントへのログインが必要なため、データが漏洩する可能性はないとしている。

ムーア氏が指摘する最後の問題は、VLC などのアプリを使用して Eufy のカメラ ストリームをライブで視聴できることですが、これがどのように可能なのかについては情報を提供しませんでした。さらに、非常に心配なことに、ムーア氏は、ストリームは暗号化されておらず、認証なしでアクセスできると指摘しています。

ムーア氏は最初の投稿以来、「ユーフィの法務部門と長い話し合いを行った」と投稿した。同氏はまた、「現段階では調査し、適切な措置を講じるための時間を与えるのが適切」とし、それ以上のコメントはできないと述べた。

Eufyがセキュリティ上の欠陥で非難を浴びたのはこれが初めてではない。最も注目すべきは、2021 年 5 月に、Eufy カメラのユーザーが、他のユーザーが所有するカメラが閲覧可能でした自分のカメラから見えるはずのものがアプリに表示され、偽のアクセスを許可されたユーザーによって設定が変更される可能性があります。