セキュリティ研究者らは、Bluetooth ベースのパニックボタンに欠陥を発見した。最悪の場合、影響を受けるキットが「事実上使えなくなる」可能性がある。
Duo Labsは、ROAR、Wearsafem、RevolarなどのBluetoothベースの個人用保護デバイス(いわゆるパニックボタン)をテストしました。これらのガジェットは通常、スマートフォンに接続して、親しい友人や家族があなたの居場所を確認できるようにします。作動すると、これらのデバイスはスマートフォンにテキストメッセージを送信して助けを求めます。
研究者のマーク・ラブレス氏は、ウィジェットのうち2つに脆弱性を発見した。この脆弱性が悪用されると、ユーザーはストーカー行為やさらに悪い被害に遭う可能性がある。
Wearsafeのボタンはサービス拒否攻撃に対して脆弱でした。接続要求が殺到した場合、ハッカーはバッテリーを取り外して再装着するまでユーザーをデバイスから締め出す可能性があります。また、デバイスはBluetooth無線を継続的に送信しているため、追跡される可能性があります。
RevolarのデバイスもBluetooth追跡に対して脆弱であることが判明した。
「Revolarの所有者を遠隔で追跡するのはそれほど簡単ではないが、スキャン範囲を広げる安価なアンテナを使って、Bluetooth経由でRevolarやWearsafeデバイスの所有者を遠隔から追跡することは依然として可能だ」とラブレス氏は語った。
どちらのデバイスも、Bluetoothスキャンにより個人用保護デバイスとして識別されます。どちらのデバイスも、やや安全性の低いBluetoothペアリングが可能です。
IoT パニックボタンのセキュリティレポートカード [出典: Duo Labs]
El Reg はWearsafe と Revolar の両社にコメントを求めた。®
