Kiwiconアメリカのハードウェアハッカーがオーストラリア全土のクリスマス料理を台無しにし、インターネット接続のバーベキューにおける大きな脆弱性を明らかにした。
ハードウェアハッカーのマシュー・ギャレット氏とポール・マクミラン氏は、モノのインターネット(IoT)のCyberQがどのようにしてリモート管理機能を公開し、インターネット経由で乗っ取られる可能性があるのかを明らかにした。
ギャレット氏は今日ウェリントンで行われたKiwiconカンファレンスで、バーベキューはGoogleを使って見つけられ、ユーザーを悪意のあるページへ訪問させることで侵入される可能性があると語った。
「これは、ルーターを介してサーバーのポートをインターネットに転送することで機能します。Googleに[CyberQ管理]のWebページを含むサーバーがあるかどうか尋ねると、答えは「はい」です」とギャレット氏は会議で述べたが、無防備状態にあると思われる大量のバービー人形については具体的には言及しなかった。
「誰かにウェブページを訪問させて無害なリンクをクリックさせることは非常に現実的です。
「これにより、バーベキュー コントローラーへのポスト リクエストを生成し、ごちそうを台無しにすることができます。」
ポール・マクミラン(左)とマシュー・ギャレット。写真:ダレン・パウリ/ザ・レジスター
オープンソースの擁護者たちは冗談で、自分たちの攻撃を「OMG BBQ」と名付けました。
これはインターネットに接続されたゴミの典型だとギャレット氏は語った。これは、モノのインターネットのアーキテクチャにおける恐ろしく蔓延するセキュリティ上の欠陥を取り上げていた同氏の講演のタイトルでもあった。
「[モノのインターネット]はほぼ例外なくひどい、非常に悪いアイデアだ」とギャレット氏は言う。「コードはほとんどがでたらめだ。ソフトウェアはたくさんあるが、デバイスに含まれるソフトウェアが多ければ多いほど、バグも増える」
彼によれば、モノのインターネットデバイスは主に小規模なオペレーティングシステムと Linux の組み合わせで実行されているが、BSD は実行されていない。「BSD を実行している人はいないから」だという。®
