Ring(リング)の「Neighbors(ネイバーズ)」アプリにセキュリティ上の欠陥があり、このアプリに投稿したユーザーの正確な位置情報や自宅の住所が暴かれる可能性があることがわかった。
Amazon(アマゾンに)10億ドル(約1040億円)で買収されたビデオドアベルとホームセキュリティのスタートアップであるRingは、2018年にその機能をスマートフォンで利用できる単独のアプリとしてNeighborsをリリースした。Neighborsは、Nextdoor(ネクストドア)やCitizen(シチズン)のような近隣住民による監視アプリの1つで、ユーザーが匿名で近くの住民に犯罪や治安の問題を警告することができる。
ユーザーの投稿は公開されているが、アプリに投稿者の名前や正確な位置情報は表示されない(多くの場合、投稿にはRingのビデオドアベルや防犯カメラで撮影された動画が含まれている)。しかし、今回発見されたバグにより、アプリに投稿したユーザーの位置情報を取得することが可能になっていたことがわかった。その中には犯罪を報告しているユーザーも含まれていた。
とはいえ、流出の可能性を指摘されたデータが他のアプリを使用している人に見られていたというわけではない。だが、このバグは、ユーザーの緯度経度や自宅住所などの隠しデータをRingのサーバーから取得していた。
もう1つの問題は、すべての投稿が、ユーザーが新しい投稿を作成するたびに1つずつ増加するサーバーによって生成された固有の番号に関連付けられていたことだ。この番号はアプリのユーザーからは見えないようになっているものの、連続した投稿番号が使用されるため、投稿者が今はその近くの場所にいなくても、以前の投稿を辿ってその位置情報を簡単に列挙することができた。
Ring Neighborsアプリ(左)、サーバーから取得された位置情報などのデータ(右)(画像クレジット:TechCrunch)
Neighborsアプリには、2020年末までに約400万件の投稿があった。
Ringはこの問題を修正したと述べている。
「Ringでは、お客様のプライバシーとセキュリティを極めて真剣に考えています。この問題に気づいてからすぐに修正しました。この情報が不正にアクセスされたり、悪意を持って使用された証拠は確認されていません」と、Ringの広報担当者であるYassi Shahmiri(ヤッシ・シャミリ)氏は述べている。
約1年ほど前には、GizmodoがNeighborsアプリで同様のバグを発見したことがある。このバグによって隠された位置情報が明らかになり、Gizmodoは全米の何万人ものRingユーザーを地図上に表示してみせた。
Ringは現在、同社のスマートカメラがハッキングされたことで、死の恐怖や人種的中傷にさらされたと主張する数十人の人々からの集団訴訟に直面している。このハッキングに対して、Ringは二要素認証のような、ハッカーがユーザーのパスワードを使ってユーザーのアカウントにアクセスすることを防ぐ「最善の方法」を使用していなかったユーザーに責任があるとしている。
ハッカーがRingのアカウントに侵入するためのツールを作成し、1500以上のユーザーアカウントのパスワードがダークウェブ上で発見されたと報じられた後、Ringはすべてのユーザーに二要素認証を必須にした。
Ringはまた、住宅所有者のドアベルカメラの映像にアクセスできるように同社と提携している全米の数百におよぶ警察署との癒着関係について、公民権団体や議員からますます高まる批判にも直面している。
関連記事:1500個以上のRingのパスワードがダークウェブ上で発見
カテゴリー:セキュリティ
タグ:Amazon、Ring
画像クレジット:Jessica Hill / AP
[原文へ]
(翻訳:TechCrunch Japan)
