素晴らしいアイデアがあります。すべてのスマートホーム ハブに同じ秘密鍵をハードコードしてみませんか?

スマートホーム企業 Zipato が自社のハブすべてに同じ秘密 SSH キーをハードコードし、システムをハッキングの危険にさらしていたことが、研究者らによって今週明らかにされた。

セキュリティショップBlack Marbleのエキスパートたちは、この欠陥と2つの関連する脆弱性を組み合わせることで、ハブとそれに接続されたデバイスにアクセスできることをブログ記事で実証しました。つまり、ノートパソコンで玄関のドアを開けられるということです。

スマートホームハブは、互換性のない様々なスマートホーム製品を管理するための比較的一般的な手段であり、すべてをシンプルかつ単一の方法で制御できます。しかし、ハブ自体が安全でなければ、このアプローチもセキュリティ上の悪夢となり得ます。そして今回のケースでは、ハブ自体が安全ではありませんでした。

ZipatoのコントローラーはZ-Wave無線規格を採用していましたが、APIにローカルとリモートの2つのセキュリティホールがあり、研究者たちはこれを悪用することができました。研究者たちはどちらも「重大」と評価しました。デバイスへのルートアクセスを提供するすべてのハブに同じSSH秘密鍵をハードコードするという、やや不可解な決定と相まって、大惨事を招く結果となりました。

キーはハブの SD カードのイメージを撮影するだけで抽出できました。キーは「/etc/dropbear/」フォルダに表示され、「dropbear_rsa_host_key」という名前でした。このフォルダはパスワードで保護されていましたが、入手可能なソフトウェアを使えば簡単に解読できました。

研究者たちはその秘密鍵を使ってハブの内部構造を詳しく調べ、デバイスの暗号化されたパスワードを入手することに成功しました。そして、ハブのAPIは実際のユーザー名とパスワードを必要とせず、暗号化/ハッシュ化されたパスワードを受け入れることを発見しました（これがAPIの脆弱性でした）。そのため、ハブの所有者になりすまして、ハブの本来の機能、つまりデバイスのオン/オフを指示することは比較的容易でした。

スマートロックの場合、ドアを開けることになります。数行のコードを書くだけで侵入できます。ルートアクセスがあるため、ハブが複数のユーザー向けに設定されていても、ハッカーはすべてのユーザーアカウントにアクセスできます。言い換えれば、すべてのドアを開けられるということです。

インターネットユーザーの皆様

このハッキングは同じ欠陥によりリモートでも実行可能です。そのため、ハブがインターネットに接続されている場合、理論上は世界中の誰でも玄関のドアを開けることができます。これは理想的とは言えません。ハブがローカルのみで動作する場合、ハッキングを悪用するには同じWi-Fiネットワークに接続している必要があります。

約 20,000 世帯に推定 100,000 台の Zipato デバイスが設置されており、その多くはサードパーティ プロバイダーによってインストールされています。

研究者たちは責任ある行動を取り、問題が修正されるまでエクスプロイトの詳細を公開しませんでした。同社はAPIの脆弱性を修正するソフトウェアアップデートをリリースし、ハードコードされた単一のSSH秘密鍵を廃止しました。

今後、すべての新しいハブには固有のキーが割り当てられます。ZipatoはZipaMicroハブを廃止し、最新製品を導入しました。これは良いことですが、そもそもなぜすべてのデバイスに同じキーを採用したのか疑問に思うでしょう。スマートホーム製品の製造においては、これが基本原則であるべきです。

大企業でさえ、こうしたセキュリティ上の欠陥の影響を受けやすい。12月、ロジテックはサードパーティの研究者が同社のAPIにセキュリティホールを発見したことで、多くの顧客を激怒させた。同社は最善の解決策として外部ソフトウェアインターフェースを完全に無効化することを決定した。その結果、顧客は不満を表明し、念入りに構築したスマートホーム機器の設置を中止した。ロジテックは激しい抗議を受け、方針を撤回し、ホールを修正するパッチを開発した。

ハードコードされたパスワードやデフォルトパスワードの危険性は非常に大きいため、カリフォルニア州は昨年、州内で製品を販売するスマートホームメーカーに対し、「製造されたデバイスごとに固有の事前プログラムされたパスワード」または「デバイスへの初回アクセスが許可される前に、ユーザーが新しい認証手段を生成することを要求するセキュリティ機能」の搭載を法的に義務付ける法律を可決しました。この法律は2020年1月に施行されます。®