最新の「IoT セキュリティはひどい」という報告により、世界は「すべてを燃やしてやり直す」という状況に一歩近づきました。つまり、「スマート」電源コンセントが、実はネットワーク全体を攻撃するベクトルになっているのです。
これらは互いに少し似ています。Edimax SP-1101WにBitdefenderの難読化を適用した場合と適用しない場合
Bitdefenderはプラグを差し込んでいますが、この画像では親切にも分かりやすく表示されています(ただし、確認したところ、画像名にはプラグは入っていません)。「親切に」というのは、まさにHammer Houseのセキュリティホラーだからです。
さらに、プラグをスマートにするために、Wi-Fi ホットスポットが組み込まれていますが、デフォルトのセキュリティ認証情報は弱いです。
2つ目の失敗:ローカルネットワークでは、ユーザー認証情報が平文で処理されます。有線イーサネットではそれほど問題にならないかもしれませんが、無線信号はホットスポットの壁をすり抜けてしまう可能性があります。
3 番目は失敗です。これはモノのインターネットなので、パワーポイントが会社のサーバーにデータを送り返すのは当然で、もちろんそのデータは暗号化されません。
最後の失敗:パワーポイントの電源がオフまたはオンになったときに、所有者にメールを送信するべきだと誰かが考えたようです(なぜでしょう?)。開発者は(何千ものスパイダーに悩まされることを願いますが)所有者のメールアカウントを使用することに決めました。そのため、メールアカウントの認証情報が必要になります。
Bitdefender が概説した攻撃シナリオには、デバイスの制御の取得、ファームウェアのアップグレードの強制、攻撃者が選択したパスワードを使用して Telnet ポートを攻撃者に開放すること、ユーザーの電子メール認証情報の公開、デバイスのボットネットへの組み込みなどが含まれています。
読者は、脆弱性を悪用するもっと良い方法を思いつくだろうと確信しています。
最近のツイートで述べたように:
モノのインターネット(IoT)では、ルート権限はHTTPリクエスト1つで得られます。今後のご活躍をお祈りしています。
— The Register (@TheRegister) 2016年8月20日
Twitterでよく言われるように、「ため息」です。®
