Bluetooth接続の指紋認証スマートロックが「破られない」と主張していたメーカーが、マウントとドライバーだけを装備した何者かによって数秒で開けられてしまったとして、米国の監視機関から非難を浴びた。
FTCは正式な訴状の中で、Tapplock社は「自社のロックのセキュリティを確保するための適切な措置を講じておらず、消費者の個人情報を保護するための適切な予防措置や業界のベストプラクティスも遵守していなかった」と主張した[PDF]。「実際、脆弱性が発見される以前、TappLock社にはセキュリティプログラムがなかった。」
そう、100ドルの金属製スマートロックの背面を適切なマウントでひねり外し、普通のドライバーでネジを外せば解除できるというだけの問題ではなかった。Indiegogoキャンペーンで資金を調達したカナダのメーカーは、オンラインユーザーアカウントの保護も怠り、スマートフォンアプリとバックエンドサーバー間の接続を暗号化しておらず、近くにいる誰もがアプリとロック間のBluetoothパケットを傍受し、その情報を使ってロックを解除できるセキュリティホールを作り出していたのだ。
FTCは、同社がロックが「破られない」と虚偽の主張をし、ユーザーデータを保護するための「合理的な措置」を講じなかったことで人々を「欺いた」と非難した。同社は連邦監視機関と和解し、「包括的なセキュリティプログラムを導入し、2年ごとに独立した評価を受ける」ことに同意した。
壊れないスマートロックがドライバーの存在を発見して壊滅
続きを読む
通常のFTC和解条件[PDF]によれば、メーカーは「いかなる申し立ても認めも否定もしない」が、現在従わなければならない要件の長いリストがある。
これには、新しいセキュリティ プログラムの責任者として特定の従業員を指名すること、将来のセキュリティ インシデントに関するレポートを提供すること、データ プライバシーについて全従業員に年に 1 回トレーニングを行うこと、ユーザーの個人情報を保護するためにさまざまな技術的対策を講じること、侵入テストを含むシステムとセキュリティの年次レビューを実行することなどが含まれます。
3つの穴
情報セキュリティの専門家は、Tapplock の API に存在する 1 つのセキュリティホールを利用してアカウント認証プロセスを回避し、ユーザー名、電子メール アドレス、プロフィール写真、位置情報の履歴、スマート ロックの正確な位置情報など、すべてのユーザー アカウントを完全に把握できることを発見しました。
2つ目の脆弱性は、近くにあるTapplockスマートロックの施錠・解錠に悪用される可能性がありました。ファームウェアはBluetoothのMACアドレスを電波でブロードキャストし、同じMACアドレスを使ってデバイスの施錠・解錠に使用するキーを計算していました。そのため、無線範囲内にいる人は誰でもデジタルキーを解読して解錠できてしまいます。3つ目の脆弱性は、他のユーザーがスマートロックにアクセスできるようになると、ユーザーがそのスマートロックへのアクセスを取り消すことができなくなり、デバイスが恒久的に安全でなくなるというものです。また、アプリとAPIサーバー間の通信にはHTTPSが使用されていませんでした。
2018年に批判と悪評が殺到した際、Tapplock社は功績としてすぐに改善に取り組み、1年後の2019年7月には再設計されたロックをリリースし、ハッキングに挑戦しました。そして、ある程度の成功を収めました。しかし、わずか1週間前、この新しいロックは、たった25ドルの強力な磁石を使っただけの人物によって再び突破されてしまいました。その様子は以下をご覧ください。
YouTubeビデオ
FTCは巨額の罰金を免れたものの、Tapplockを注視していく姿勢を明確にした。FTCの消費者保護担当ディレクター、アンドリュー・スミス氏は、Tapplockが自社のセキュリティ対策を謳うにもかかわらず、そのテストすら実施していないと指摘した。「テクノロジー企業は基本を忘れてはならない。セキュリティを約束するなら、それを実現しなければならない」とスミス氏は述べた。®
