30ドルのドアホンカメラには複数の重大なセキュリティ欠陥があるとコンシューマーレポートが指摘

ビデオドアベルカメラはコモディティ化されており、Amazon、Walmart、Temu、Shein などのマーケットプレイスで 30 ～ 40 ドルで購入できるようになりました。ただし、実際に所有するコストははるかに高額になる可能性があります。

CRによると、Consumer Reports（CR）は、予算重視のドアホンの2つのブランド、EkenとTuckに対するセキュリティ調査の結果を発表した。これらは中国のEken Groupが製造するハードウェアとほぼ同じである。カメラはさらに少なくとも 10 のブランドで再販されます。カメラは共通のモバイル アプリAiwitを通じて設定されます。そして、カメラには別の共通点がある、と CR は主張します。それは「厄介なセキュリティ上の脆弱性」です。

• パブリック IP アドレスと Wi-Fi SSID (名前) を暗号化せずにインターネット経由で送信する
• カメラをペアリング モードにし (一部のモデルでは前面のボタンから実行できます)、Aiwit アプリを介して接続することでカメラを引き継ぎます。
• カメラのシリアル番号を知ることで、ビデオ フィードから静止画やその他の情報にアクセスできます。

CR はまた、Eken カメラには FCC 登録コードが欠如していると指摘しました。CRによると、2024年1月には4,200台以上が販売され、多くの場合、Amazonの「Overall Pick」ラベルが貼られていた（Arsのライターが水曜日に調べたとき、あるモデルがそうしていた）。

「あまり知られていないメーカーのこれらのビデオドアベルには、セキュリティとプライバシーに関する深刻な脆弱性があり、現在ではアマゾンやウォルマートなどの主要なデジタルマーケットプレイスに侵入している」とコンシューマーレポート社の技術政策担当ディレクター、ジャスティン・ブルックマン氏は声明で述べた。「ドアホンを販売するメーカーとプラットフォームの両方には、これらの製品が消費者に危害を加えないようにする責任があります。」

CR は、ドアホンが販売されているのを見つけたベンダーに連絡を取ったと述べた。テム氏はCRに対し、ドアホンの販売を中止すると語ったが、「同一ではないにしても、見た目が似たドアホンがサイトに残っていた」とCRは指摘した。

ウォルマートの代表者はアルスに対し、コンシューマー・レポートで言及された、サードパーティが販売したすべてのカメラはすでにウォルマートから撤去されていると語った。同担当者は、顧客は払い戻しの対象となる可能性があり、ウォルマートはFCC IDを必要とするデバイスの販売を禁止していると付け加えた。

Ars は Amazon にコメントを求め、この投稿を新しい情報で更新する予定です。Eken の Web サイトで確認できる唯一のアドレスに送信された電子メールは、配信不能で返送されました。同社のソーシャル メディア アカウントが最後に更新されたのは少なくとも 3 年前です。

CR は、調査結果に関して Eken と Tuck に対して脆弱性の開示を行いました。開示内容には、JPEG ファイル、ローカル SSID、外部 IP アドレスなど、認証なしでネットワーク上に送信されるデータの量が記載されています。悪意のあるユーザーが Aiwit アプリによって生成された QR コードを使用してドアホンを再ペアリングした後は、ユーザーが Eken からのメールを見てドアホンを取り戻すまで、デバイスを完全に制御できると指摘しています。

いくつかの例外を除き、ビデオ ドアベルやその他の IoT カメラは、クラウド接続に依存して映像をストリーミングおよび保存し、所有者にイベントについて通知する傾向があります。これにより、プライバシーとセキュリティに関する顕著な懸念が生じています。2019 年後半に、リング式ドアホンがWi-Fi 認証情報を平文でプッシュしていることが判明しました。「クラウドなし」サービスを販売していた企業 Eufy は、プッシュ アラートを送信するために顔のサムネイルをクラウド サーバーにアップロードしていたことが判明し、後にそのことについて謝罪しました。およびその他の脆弱性。カメラ プロバイダーの Wyze は最近、長期にわたる停止の後、画像とビデオ フィードが間違った顧客に誤って利用可能になったことを 5 か月で 2 度目に明らかにしました。

Amazon/Eken による出品画像