セキュリティ研究者らは、ベビーモニターが遠隔ハッキングされ、家族を監視するために使われていたという母親の主張を裏付けることができると述べている。
SEC Consultは、Fredi Wi-Fiベビーモニターに欠陥を発見したと発表し、外部の攻撃者がリモートからデバイスに接続し、認証なしで内蔵カメラを使用できる可能性があるとしている。
レジスター紙はコメントを求めてフレディを製造している会社に連絡を取ったが、まだ返答はない。
研究者によると、保護者がノートパソコンやモバイル端末でモニターを視聴できるオンラインポータルへの接続時に、モニターのセキュリティ対策が不十分であることが原因だ。そのため、ハッカーに乗っ取られやすく、カメラを使って他人をスパイされる可能性がある。
サウスカロライナ州に住む母親のジェイミー・サミットさんもその一人だった。彼女はモニターのカメラが勝手に部屋をパンしていると苦情を言い、その動作に気付いた後、コントロールパネルから締め出された。
「その人がどんなものを見たのか、そしてそれがまだどこかにあるかもしれないのかを考えると、ちょっと気分が悪くなります」とサミット氏は語った。
「私は息子を守る義務があるのに、守れなかったような気がする。」
セキュリティ企業の研究者がこの問題を調査した結果、P2Pサービスはクラウドに直接接続されており、8桁のデバイス番号と共通のデフォルトパスワードだけでアクセスできることが判明しました。つまり、誰かがオンラインポータルにアクセスし、デフォルトパスワードとランダムな数字を入力するだけで、カメラ映像を閲覧できる可能性があるということです。
「残念ながら、デバイスIDはあまり安全ではないようだ」と研究者らは書いている。
さらに、デフォルトのパスワードはランダムに生成されるわけでも、デバイス固有のものでもありません。ユーザーがパスワードを安全なものに変更しない限り、誰でも異なるクラウドIDを「試す」ことでログインし、カメラを操作できてしまいます。
冷蔵庫が赤ちゃんを殺した?家庭用品から発生する磁場放射線が「流産リスクを高める」
続きを読む
SEC Consult は、非常に不気味なだけでなく、安全でないモニターは所有者のホームネットワークに広く開かれた扉を開き、さらなる攻撃を招き入れる可能性もあると指摘しています。
「『P2Pクラウド』機能はファイアウォールを回避し、プライベートネットワークへのリモート接続を事実上可能にします。これにより、攻撃者は意図的か否かに関わらずWebに公開されたデバイス(従来の「Shodanハッキング」やMiraiアプローチ)だけでなく、『P2Pクラウド』経由で公開されている多数のデバイスを攻撃できるようになります。」
研究者らはまた、これは単発のインシデントではないようだと指摘している。Frediモニターのファームウェアを提供した中国企業は、多くのデバイス向けの汎用カメラ制御アプリを開発しており、その安全でないポータルは他の家電製品にも使用されている可能性が高い。
「不透明なサプライチェーンと、デフォルトで有効になっている安全でない組み込みクラウド機能を備えた消費者向け電子機器が、今後私たちを忙しくさせるだろう」と彼らは書いている。
ユーザーには、デフォルトのパスワードをすぐに変更したり、疑わしいハードウェアアクティビティやネットワークトラフィックに注意するなどの基本的な対策を講じることが推奨されます。®
