オスラムのスマート電球システムに9つのセキュリティホールが見つかり、そのうち4つはまだ修正されていないため、攻撃者が家庭や企業のネットワークにアクセスできる可能性がある。
Lightify HomeおよびProシステムにおける問題は、クロスサイトスクリプティング(XSS)、ZigBeeおよびSSLプロトコルの問題、安全でない暗号化キーの取り扱いなど、多岐にわたります。これらの問題は、セキュリティ企業Rapid7によって発見されました。
プログラミング上のバグの中には、かなり素人っぽいものもあり、製品が市場に出る前にどのようなセキュリティ審査を受けているのかという大きな疑問を提起しています。Lightifyデバイスは、ZigBee経由でゲートウェイボックスにワイヤレス接続し、ゲートウェイは自宅のWi-Fiネットワークに接続します。ゲートウェイはiOSまたはAndroidアプリから制御されます。
これらのセキュリティホールにより、攻撃者は照明を消したり管理インターフェースを制御したり(面倒ではあるものの危険ではない)、デバイスからネットワーク パスワードを抜き出してネットワークにアクセスしたり(重大な侵害の第一歩となる)など、あらゆることが可能になります。
Lightify iPadアプリが、ネットワークWi-FiパスワードをSSIDのすぐ隣に平文で保存していることが判明しました(CVE-2016-5051)。このため、タブレットが盗難または不正アクセスされた場合、ネットワークへの不正アクセスが可能となります。Lightify社は、この情報が暗号化されていない状態で保存されることを防ぐパッチを公開しました。
さらに、同社が SSL ピンニングを使用していないために、制御アプリとの間でやり取りされる SSL 暗号化トラフィックを解読する中間者攻撃を何者かが仕掛けられる可能性があり、未だに修正されていない脆弱性が 2 つあります (CVE-2016-5052 および CVE-2016-5057)。
オスラムは、SSLピンニングを導入するためのパッチを開発中であると発表しました。これは基本的に、接続確立時に特定のSSL証明書を確認するというものです。この手法は既にかなり一般的になっており、オスラムのセキュリティ基準にも疑問が生じています。
さらに…
他の穴も同様、あるいはそれ以上に心配です。
一つは、攻撃者がProシステムのウェブ管理ツールのユーザー名入力欄にJavaScriptとHTMLを挿入できる脆弱性(CVE-2016-5055)です。これは、本来許可されるべきではない非常に基本的なエントリポイントです。結果として、システムの設定やデータへのアクセスが可能になり、システムを制御できるようになる可能性があります。同社はその後、この脆弱性を修正しました。
悪いセキュリティとはどのようなものか(Rapid7 のグラフィック)
もう一つの大きな未修正の脆弱性(HomeシステムとProシステムの両方に存在 – CVE-2016-5054およびCVE-2016-5058)は、ZigBeeプロトコルを介してデバイスをシステムとペアリングする際に使用するキーがシステムによって更新されないことに起因しています。そのため、過去のコマンドはすべて認証なしで取得・実行可能です。オスラム社は、定期的なキー更新を導入するアップデートに取り組んでいると述べています。
さらに、このシステムではデフォルトで脆弱な事前共有鍵(PSK)が使用されており、その一つが「0123456789abcdef」です。これは、熟練したハッカーであれば数時間でシステムに侵入できることを意味します。パッチでは、より長く複雑なPSKが使用される予定です。
つまり、今回の調査は、以前から多くの人が警告し、懸念してきたことを浮き彫りにしている。つまり、スマートホームや IoT メーカーはセキュリティ対策を十分に講じておらず、消費者や企業を深刻なセキュリティリスクにさらしているということだ。
ベビーモニター、スマートウォッチ、カメラ、体重計、そして今では電球でも見られるように、この新しい消費者向けテクノロジーは重大なリスクを伴い、企業はセキュリティを現在よりもさらに真剣に受け止め、対策を強化する必要があります。®
