スマートホームカメラ「ATOM Cam」専用アプリで位置情報の無断送信が判明、批判受け修正へ 55
ストーリー by nagazou
無断 部門より
無断 部門より
あるAnonymous Coward 曰く、
スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech(アトムテック)は6月12日、同社の提供する「ATOM – スマートライフ」アプリ(Android版、iOS版)において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した(ATOM Techのニュースリリース)。
発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。
同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。
しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。
同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。
自社開発ではないんだよなぁ (スコア:3, 興味深い)
結局、中国メーカのOEM品なんですよね
Wyze Cam [wyze.com], WANSVIEW [wansview.com]、Xiaomi Xiaofang とかいろいろあって、firmwareバージョン表記を見ると、なんとなーく開発順序が見えてきて興味深いですね
ATOM CAM2 : 4.58.0.39
ATOM CAM ; 4.33.3.24
Wyze Video Doorbell: 4.25.0.244
Wyze Cam Outdoor: 4.17.1.123
Wyze Cam : 4.16.2.7
Wyze Cam Pan: 4.10.6.241
Wyze Cam v3: 4.36.2.5
Wyze Cam v2: 4.9.6.241
Wyze Cam v1: 3.9.4.32
SoCはMIPS系コアのIngenic T10/T20/T31Xを使っていて、ATOM CAM/ATOM CAM2はT31X版らしい
T20版の方は、いろんなhack手法がある
Xiaomi DaFang Hacks / XiaoFang 1S / Wyzecam V2 / Wyzecam Pan / Other T20 Devices [github.com]
JCO PM203 Fisheye Ingenic T20 P2P camera hacks [github.com]
OpenMiko [github.com](custom firmware)
Re:自社開発ではないんだよなぁ (スコア:1)
アトムテック株式会社(ATOM tech Inc.)
https://www.atomtech.co.jp/cor... [atomtech.co.jp]
の企業メッセージ曰く、
『日本のスマートホーム製品に革命を起こす』らしいです。
中華製品が革命起こすってどんな皮肉・風刺なんですかね……
Re: (スコア:0)
ハードウェア・ファームウエア・アプリのすべて国産ってのは稀ですが、すべて海外製ってのも稀なので、下手に言及すると主語デカになっちゃうんですよね。
元々クラウドファンディング [readyfor.jp]のページでは
と述べています。
アプリ開発の主導権が国内にあるので今回の件も炎上翌日には対応できたんだというのが分かりますが、ファームウェアの方は海外のOEM製品とバージョンに連続性があるということは、コア機能の大部分を海外に依存している可能性があるわけですね。
Re: (スコア:0)
WANSVIEWの初期設定やってる場面に遭遇したんだけど、ATOM CAMと同じ日本語音声で設定が始まってたし、アプリの見た目もほぼ同じだったので、まぁそんなもんなんだろうと思いましたね
スマート家電なぁ (スコア:0)
ネット越しのサービスに依存するやつはこういうのの懸念が払拭出来ないし
セルフでハードとソフト管理するとハードルが一気に高くなる
何とかならんもんか
Re:スマート家電なぁ (スコア:1)
デフォルトはクラウド連動でもいいけど、クラウドから切断して動くようにしてくれないと、とても購入する気になれない
Re: (スコア:0)
前に買った安カメラ。
たった半年でサービス終わり。
Re:それな (スコア:0)
個人情報だだもれとかあまりかんけーなくて そもそも製品が使えなくなるのがやなんだよな
Re:そんなもんです (スコア:0)
そんなものと割り切ってつかうしかないのでは?
今回のATOM CAMだって 急に出た話ではなく一般販売に
なって割と早い段階で出ている話だし
Re: (スコア:0)
なので、自分はセキュリティが割としっかりしてるAppleHomekit重視で
さらにHomekitルーター機能( https://support.apple.com/ja-jp/HT210544 [apple.com] )で、HomekitでつながったIoTがLAN/WANに勝手につながらないよう制御してる。
まぁこの機能なくても、普通にルーターで指定のローカルIPアドレスをブロックすればいいんだろうけど、管理面倒だよね。
そもそもWi-Fi情報を取得する必要性 (スコア:0)
wifiの情報を取得するため位置情報の権限が必要ってのは分かるんだけど、タイムラプスファイルを取得するためwifiの情報が必要ってどういうことなの? 教えて識者!
Re:そもそもWi-Fi情報を取得する必要性 (スコア:1, 参考になる)
初期設定時にカメラをネットワークに接続させるためSSIDとPSKをQRコード化してカメラに撮影させて読み込ませるのに必要(といっても現行バージョンでは自動取得を許可せずSSID/PSKの手動入力も可)なんだけど、カメラのSDカード内に保存されているタイムラプス動画をダウンロードするのに改めてその手順が必要な理由はよくわからないな。
Wi-Fi Directとかで通常のリアルタイム動画とは別経路を開いてるのかも。
Re: (スコア:0)
タイムラプスの生成をスマホアプリでする時に、元動画ソースをクラウドではなく、カメラのmicroSDからWi-Fi経由で直接引っ張ってくる仕様なのでは?
クラウドの負荷軽減の為にローカルで完結したかったとかで。
Re: (スコア:0)
通常のライブ動画も基本的にはインターネット(クラウド)経由ではなく直接イントラネット(ローカル)で転送する仕様なので、タイムラプスだけ異なる扱いにする必要性がよくわかりませんね。
ATOM Camって本当に安全なの?ネットワーク通信の仕様をわかりやすく解説|ATOM tech(アトムテック)|note [note.com]
Re: (スコア:0)
大抵は「どっかのサンプルがそうだったから」とかの理由なんだよなあ。
そんな奴等でも製品が作れると喜ぶべきか、情報リテラシーの言葉すら知らない奴でも商売できているのを憂うべきか。
Re: (スコア:0)
スマホへのファイル転送に WiFi Direct あたりを使ってるってことじゃない?
Re: (スコア:0)
ぐぐるやあぽーが毎回バグでしたテヘペロやってっから
ああ俺等もやっていいんだってなるよなまぁ
Re: (スコア:0)
別件で政府から言いがかりつけられて何百億単位で罰金払わされてるのを、ベンチャーや個人事業でも同じように払える訳がないけどな
Re: (スコア:0)
俺は wifi 情報を取得するために位置情報の権限が必要なのも意味わからないのだが。
いつの間にか Android の仕様がそうなっていたのだけど、wifi掴んで通信するだけなら位置情報なんていらなくね?
Re: (スコア:0)
SSIDから今いる場所を特定できるから位置情報なんだよ。
Re: (スコア:0)
カメラで写真を撮影する時に
位置情報を取得します(撮影した写真の風景から位置情報を特定できる(可能性がある)から)
電話番号を取得します(撮影した人物の顔認識で電話番号DBと結合出来る(可能性がある)から)
身体活動を取得します(撮影した人物から身長 体重を機械学習で推測出来る(可能性がある)から)
カメラの方も何か隠してやってない? (スコア:0)
社内体制の不備で
Re:カメラの方も何か隠してやってない? (スコア:1)
もうやらかしてる
【重要】新製品「ATOM Cam 2」で判明した一部機能の不具合について | ATOM Tech(アトムテック) [atomtech.co.jp](2021.05.20)
ビデオ形式(コーデック)についてのお詫びと訂正 | ATOM Tech(アトムテック) [atomtech.co.jp](2021.06.23)
いかにもベンチャーのクラウドファンディング製品って感じで笑える(笑えない
Re: (スコア:0)
本体がシャオミ製で中国のどこかに接続して云々疑惑はどうなったのかな。
これのことなのかな。
Re: (スコア:0)
シャオミ製ではなく、シャオミが委託してるのと同じメーカーに作らせているっぽい
ATOM Cam解析準備 - honeylab's blog [hatenablog.jp]
Re: (スコア:0)
競合機種と比較して異様に安かったので (スコア:0)
カタログスペック外の部分に何か罠があると思って手を出さなかったが、やっぱりな。
SMB1しか使えないポンコツ (スコア:0)
カメラとしてもSMBへの保存にSMB1しか使えないポンコツだったりする。
脆弱性で利用が推奨されてないバージョン使うのもなあ・・・(カメラ自身はどうなの、という話は置いておく
Re: (スコア:0)
BUFFALO製最新ルーター「すまんなw」
天気予報を表示すればいいんだよ! (スコア:0)
そういえば、そんなOSがあったな
その、Googleのソフトウェアエンジニアである河本健氏とやらは (スコア:0)
業務でそれ発見したのかね?
個人の趣味で発見したのならなんで「Googleのソフトウェアエンジニア」などと名乗る必要ある?
業務で発見したのなら会社対会社の正式ルートで問い合わせればいいものをどうもそんな感じはなく個人でやってるように読める
しかも正義面して。ツィートして炎上させて。マスゴミと同じ。
これが仕事なの?
Re:その、Googleのソフトウェアエンジニアである河本健氏とやらは (スコア:1)
随分とクリティカルヒットしたようですね
お大事に
Re:その、Googleのソフトウェアエンジニアである河本健氏とやらは (スコア:1)
// もう存在しないらしいですが
Re: (スコア:0)
君は何者にも成れなさそうだな
まさにACって感じ
Re: (スコア:0)
ネットの発信は全部ACでやれってことですね。わかりみが浅い。
Re: (スコア:0)
タレコミ人です。
タレコミ文に所属を載せるかどうか迷ったのですが、安全側に倒して「Googleのソフトウェアエンジニア」と記載しました。
これは発言に箔を付けるという意味ではなく、Androidアプリのパーミッションモデルに関してGoogleの従業員は利害関係者だからです。
米国はステマに厳しいため、個人の趣味であろうが、業務であろうが、利害関係にある製品への言及の際は所属の明記が求められます。
是正策 (スコア:0)
こういう事件を防ぐためにも、
この手のプロダクトにはリバースエンジニアリング禁止条項が必須ですね(違
Re: (スコア:0)
アプリ内を直接解析しなくても、APIモニタやSSL暗号化の前段階をパケットキャプチャできるアプリがあれば、
どのような通信をしているのかは明らかにできますよ。
今回のはおそらく後者でやってるはずです。
監視 (スコア:0)
電源とネットワークに接続されたカメラを
「自腹で」
「自分で」
「自宅に」
設置する。もはや心の病といって良いんじゃ無いかと思いますよ。
一昔前ならりっぱな盗聴機器です。
FBのトップは自分のPCにも、マイクとカメラに物理的フタをしてるそうですね。何が違うんでしょう。
Re:監視 (スコア:2)
庭に設置しておいたらたぬきが写ったりして面白いですよ。2500円のわりにきれいに写ります。
Re: (スコア:0)
例えば、ベランダに鳥のうんこが落ちてるけど、鳥の姿を見たことがない
いつ、どんなのが来てるの?とか疑問を解決するために3千円(microSD込み)というのはお手軽ですよね
一般人が解析してわかる程度のことをATOM tech社がわからない (スコア:0)
逸般人かもしれないけど、普通の人が普通の道具でわかる程度のことを、
発売元であるATOM tech社がわからないとか、技術力のない会社という印象が強烈に残った
Re: (スコア:0)
違法かどうかの話ですらないのに本文すら読めないレイシストが顔真っ赤にして書き込んでるね。
Re: (スコア:0)
残念!酔っ払いが顔を真っ赤にして書き込んでるだけなんだ。
赤面を誤魔化すためにレッテル張するより、酒を飲んだほうが良いんじゃない?
# ところで、同意のない収集は個人情報保護法違反な訳だけど、
# 酔っ払いにもわかるよう違法じゃない理由を説明をしてもらえいないですかねぇ?
Re: (スコア:0)
ジャップと書き込んだ時点で侮辱罪なんではやく自首しなレイシスト
Re: (スコア:0)
スラドはもうちょっとACを減らさないとキチガイばっかり増えるね
Re: (スコア:0)
人種と人の区別がついていないのかな?
その用語が気に入らないなら日本製でもMade in JapanでもDesigned by Japanでも良いから
個人情報保護法に抵触しない理由を説明してくれませんかねぇ?
# 特異な事象をやり玉に挙げるのは系統誤差から何かを見出してしまう
# (愚図のみをサンプルにして集団を愚かと論じる)愚行だ、で済む話なんですけどねぇ?
Re: (スコア:0)
> ところで、同意のない収集は個人情報保護法違反な訳だけど、
日本の個人情報保護法での話なら、同意は必ずしも必要ではない。
必須なのは利用目的の明示。同意必要なのは第三者提供を行う場合と、海外移転を行う場合(いずれの場合も例外あるが面倒なので省略)。
Re: (スコア:0)
やたらマイナスモデを牽制するAC、同一人物っすか?
Re: (スコア:0)
そう思いたいなぁ
「俺はマイナスモデなんか気にしてないんだ!」と言ってないと自我が保てない
「俺ピーマン食べれるもんね」ってな小学生みたいなのがそんな多数いるとは思いたくない