Opinion Brawte nfaq 0 Comments

朗報!インターネットのクソアプリの半分だけが暗号化に失敗している

Table of Contents

朗報!インターネットのクソアプリの半分だけが暗号化に失敗している

更新IoTデバイスのセキュリティ評価は、特にファームウェアのバイナリ解析に精通していない場合は難しい場合があります。別のアプローチとしては、IoTのセキュリティは一般的に劣悪であると仮定するという方法があり、新たな調査によると、それはおそらく安全な選択であることが示されています。

先週、プレプリントサービス ArXiv を通じて配布された論文の中で、ブラジルのペルナンブコ連邦大学とミシガン大学のコンピューター科学者である Davino Mauro Junior、Luis Melo、Harvey Lu、Marcelo d'Amorim、Atul Prakash が、IoT デバイスに付随するアプリのセキュリティを、関連するハードウェアの全体的なセキュリティの指標として分析した方法について説明しています。

「コンパニオンアプリとデバイスファームウェア間のこの相互作用が適切なセキュリティ原則に従って実装されていない場合、デバイスのファームウェアは潜在的に安全ではなく、攻撃に対して脆弱になるというのが私たちの直感です」と研究者たちは論文の中で説明している。

その直感は的を射ているようだ。5人の研究者は96台のIoTデバイスに関連付けられたスマートフォンアプリを調べたところ、約31%が暗号化を全く使用していない一方で、19%は簡単に見つけられるハードコードされた暗号鍵を使用していることを発見した。

これは、アプリの約半数(デバイスの38%に相当)がプロトコル解析によって潜在的に悪用される可能性があることを意味します。アプリの40%から60%がローカル通信またはローカルブロードキャスト通信を使用しているため、潜在的な攻撃経路が存在します。

研究者らは、5台のデバイス(2台のデバイスでは同じアプリが使用されていた)に関連付けられた4つの異なるスマートフォンアプリについて詳細な調査を行い、それらに対するエクスプロイトを作成した。彼らはiOSではなくAndroidアプリに焦点を当てた。

5人は、TP-Linkデバイス用のKasa for Mobileアプリ、LIFX Wi-Fi対応電球用のLIFXアプリ、Belkin IoTデバイス用のWeMoアプリ、Broadlinkキット用のe-Controlアプリを検証し、それぞれに対してエクスプロイトを作成することに成功しました。

いいぞ

カリフォルニア州、インターネットの悪質なパスワードを厳しく取り締まる

続きを読む

「TP-LinkのAmazonベストセラースマートプラグは、特定の製品ラインの全デバイスで同じハードコードされた暗号化キーを共有しており、デバイスの初期設定は適切な認証なしにアプリを通じて行われていることが判明しました」と研究者らは論文で説明している。「この情報を利用することで、このデバイスを制御するためのスプーフィング攻撃を仕掛けることができたのです。」

この脆弱性を実証する無音のビデオが公開されています。研究者らは、TP-Linkのハードウェアが同じモバイルアプリを使用しているため、この問題は他のすべてのTP-Linkデバイスにも存在すると主張しています。

研究者らはさらに、アマゾンで最も売れているWi-FiおよびBluetooth対応デバイス96台に関連付けられた32個のスマートフォンアプリを分析し、同様の欠陥を発見したが、これらのアプリに対するエクスプロイトコードの作成は試みなかった。

彼らは、論文発表前に関係企業に調査結果を報告し、その説明と緩和策を提案したと主張している。しかし、今のところ返答はない。

「どの企業も私たちの情報開示に対して何の反応も示しておらず、私たちの知る限り、これらの脆弱性に関するパッチもリリースしていない」と彼らは言う。

レジスター紙は、影響を受けた各企業にコメントを求めた。

LIFXの広報担当者はThe Register宛ての電子メールでの声明で、「限定的成果報告書で概説された脆弱性は2018年末に対処済みです。暗号化の導入を含むセキュリティ対策を強化しました」と述べた。

限定的な結果に関する報告書は、別の欠陥について言及していると聞いています。LIFXに詳細を問い合わせました。

Belkin、Broadlink、TP-Link はすぐには反応しませんでしたが、彼らも同様に行動を起こしていることを期待しています。®

追加更新

月曜日にThe Registerに送られた電子メールの声明の中で、ベルキンの広報担当者は次のように述べた。「UPnPが選ばれたのは、その普遍性と使いやすさ、そしてローカルホームネットワークが十分なセキュリティを提供するからです。」

しかしながら、フィッシング詐欺や悪質なウェブサイトからのマルウェアによる脅威が増大していることを踏まえ、当社は製品のセキュリティ向上と強化に常に取り組んでいます。今年後半にはユーザーアカウントの導入に取り組んでおり、これによりローカルネットワーク通信のセキュリティが確保され、アクセシビリティが向上します。

The Registerの追加の質問に対して、LIFX は研究論文に記載されている問題にまだ取り組んでいることを認めた。

「この報告は承知しております。一般的な見解として、すべてのIoTデバイスが脆弱性を抱えていることを消費者は認識しておく必要があります」と、同社の広報担当者は述べた。「当社は常に、強固なセキュリティと使いやすさの適切なバランスをとるよう努めています。」

この場合、ローカルLAN経由で照明機器と通信するために、暗号化されていないメッセージングを使用しています。これはLIFXによって隠蔽されているわけではなく、パートナーやサードパーティ開発者が容易に利用できるように、LANプロトコルは公開されています。

しかし重要なのは、照明を制御するにはネットワークへのアクセスが必要だということです。つまり、照明がWi-Fiにアクセスするためにハッキングされているのではなく、照明にアクセスするためにWi-Fiがハッキングされているのです。

Opinion

Smart Recommendations

Discover More