中国企業の奇虎360科技社が製造し、米国と欧州でXploraブランドで子供向けに販売されているスマートウォッチ「Xplora 4」は、暗号化されたSMSメッセージで起動すると、密かに写真を撮影したり音声を録音したりできると、ノルウェーのセキュリティ企業Mnemonicは述べている。
このバックドアはバグではなく、意図的に隠された機能だと発見者たちは主張している。Xploraによると、これまでに約35万本の腕時計が販売されているという。このセキュリティホールを悪用するのは本質的に容易ではないが、今日のガジェットのファームウェアに残されたリモートアクセス可能な機能を明らかにするものだと指摘する。
「バックドア自体は脆弱性ではない」と、情報セキュリティのプロであるハリソン・サンド氏とエルレンド・ライクネス氏は月曜日の報告書で述べている。「これは意図的に開発された機能セットであり、リモートスナップショット、位置情報の送信、盗聴といった機能名が付けられている。バックドアは、SMSコマンドを時計に送信することで起動する」
研究者らは、これらのスマートウォッチは、内蔵カメラで密かに写真を撮影したり、装着者の位置情報を追跡したり、内蔵マイクで盗聴したりするのに利用できる可能性があると示唆している。しかし、実際にそのような監視が行われたとは主張していない。これらのスマートウォッチは、子供にとって初めての携帯電話として販売されており、接続用のSIMカード(電話番号が紐付けられている)が内蔵されているという。親は、スマートウォッチの装着者を見つけるアプリを使って、子供の居場所を追跡できる。
これは意図的に開発された機能セットであり、リモートスナップショット、位置情報の送信、盗聴といった機能名が付けられています。バックドアは、時計にSMSコマンドを送信することで起動されます。
Xplora社は、セキュリティ問題はプロトタイプの未使用コードに過ぎず、すでにパッチが適用されていると主張した。しかし、同社のスマートウォッチは、2017年にMnemonic社とノルウェー消費者評議会から、セキュリティとプライバシーに関する様々な懸念事項として指摘されていた製品の一つだった。
サンド氏とライクネス氏は報告書の中で、ノルウェー企業のXplora Mobile ASがXploraウォッチシリーズを欧州で、そして9月時点では米国でも販売しているが、ハードウェアはQihoo 360社製で、同社のAndroidベースのアプリケーション90個のうち19個がこの中国企業から提供されていると指摘した。
彼らはまた、6月に米国商務省が奇虎360の中国および英国の事業グループをエンティティリストに掲載したことを指摘した。この指定により、奇虎360は米国企業との取引が制限される。米国当局は、同社が米国の国家安全保障に対する潜在的な脅威であると主張しているが、その根拠となる証拠は示していない。
2012年、中国を拠点とする民間ハッカー集団「インテリジェント・ディフェンス・フレンズ・ラボ」が発表した報告書では、Qihoo 360の360セキュアブラウザにバックドアが仕掛けられていると非難された[[PDF]]。
3月、奇虎360は、米国中央情報局(CIA)が10年以上にわたり中国に対してハッキング攻撃を行っていると主張した。奇虎360はコメント要請に直ちには応じなかった。
Mnemonic によると、Xplora 4 には「Persistent Connection Service」と呼ばれるパッケージが含まれており、これは Android のブート プロセス中に実行され、インストールされているアプリを反復処理して、他のアプリの機能を呼び出すためのコマンドである「インテント」のリストを作成します。
適切な Android インテントを使用すると、Qihoo SMS アプリで受信された暗号化された着信 SMS メッセージを、永続接続サービスのコマンド ディスパッチャ経由で送信し、リモート メモリ スナップショットなどのアプリケーション コマンドをトリガーできます。
ハッカーは子供のスマートウォッチを追跡したり、位置情報を偽装したり、盗聴したりできる
続きを読む
このバックドアを悪用するには、標的のデバイスの電話番号と工場出荷時に設定された暗号化キーが必要です。研究者によると、このデータはQihooとXploraの関係者のみが利用可能で、専用のツールを用いてデバイスから物理的に取得できるとのことです。これはつまり、北京の指示を受けたメーカーや、日和見主義の悪意ある人物がデバイスを攻撃することで、一般の人々がハッキングされる可能性は低いことを意味します。ただし、これは関心を持つ人々にとっては問題となります。また、これは量販デバイスに残されたコードの種類を浮き彫りにしています。
The Registerからの問い合わせに対し、自社が販売するスマートウォッチ向けにドイツの AWS 上に独自のバックエンド インフラストラクチャを維持している Xplora は、ファームウェア パッチのリリースを含む状況に対処するための措置を講じたと述べました。
「Xploraはプライバシーと潜在的なセキュリティ上の欠陥を極めて深刻に受け止めています」と同社は電子メールで声明を発表した。「警告を受けて、この潜在的な問題を解消するXplora 4用のパッチを開発し、10月9日午前8時(中央ヨーロッパ時間)前にリリースしました。」
同社は、セキュリティ上の懸念は、プロトタイプに含まれ、容易にアクセスできないコードに起因すると主張している。同社によると、このスマートウォッチの設計段階では、緊急時に子供に連絡を取りたい、また誘拐された場合には位置情報を取得したいといった保護者からのフィードバックがあったという。
Xplora はスナップショットやその他の機能をプロトタイプテストの一部として組み込んでいましたが、プライバシー上の懸念から商用リリースでは実装しないことに決定しました。
「この潜在的な脆弱性を悪用するには、X4ウォッチへの物理的なアクセスと個人の電話番号が必要となる点に留意することが重要です」とXploraの広報担当者は述べています。「たとえこの脆弱性が有効化されても、画像が送信されるのは、第三者がアクセスできない、高度にセキュリティ保護されたAmazon Web Services環境に設置されたドイツのXploraサーバーのみです。」
広報担当者は、同社はセキュリティ報告書の通知を受けて監査を実施し、セキュリティ上の欠陥が悪用された証拠は見つからなかったと述べた。®
