さまざまなロボット掃除機に存在する脆弱性により、悪意のある人物が掃除機のカメラにアクセスし、遠隔操作することが可能になる。
ポジティブ・テクノロジーズ(PT)のセキュリティ研究者は今週、東莞Diqee 360スマート掃除機にセキュリティ上の欠陥があり、ハッカーがそれを悪用して暗視カメラとマイクを通じて人々を盗み見たり、ルンバのコピー機を乗っ取ったりできることを明らかにした。
便利な小型の車輪付きスパイと考えてください。
PTのレオニード・クロル氏とゲオルギー・ザイツェフ氏によって発見されたセキュリティ問題は、他のブランドで販売される製品にも影響を及ぼす可能性がある。
最初の脆弱性(CVE-2018-10987)は、リモートコード実行に関係します。ハッカーは、同じ無線ネットワーク上にある掃除機のMACアドレスを取得し、UDPリクエストを送信することで、掃除機上でスーパーユーザー権限でコマンドを実行できます。ハッカーはまずデバイスにログインする必要がありますが、多くのハッカーがデフォルトのユーザー名とパスワードの組み合わせ(adminと888888)を使用しているため、このプロセスは容易です。
2つ目の脆弱性(CVE-2018-10988)を悪用するには、攻撃者が物理的なアクセスを必要とします。microSDカードは、掃除機のアップデートメカニズムの脆弱性を悪用するために利用される可能性があります。
ハッカーは攻撃スクリプトを作成し、メモリカードの「upgrade_360」フォルダに保存する可能性があります。SDカードを挿入した状態で掃除機を再起動すると、掃除機のアップデートシステムは、デジタル署名や正当性チェックを行わずに、スーパーユーザー権限で「upgrade_360」フォルダのファイルをファームウェアにインストールします。
このスクリプトは、他のデバイスから Wi-Fi 経由で送信されるプライベートデータを傍受するスニファーなどのハッキングユーティリティまたはツールになる可能性があります。
これらの脆弱性は、影響を受ける東莞Diqee 360掃除機と同じビデオモジュールを使用している他のIoTデバイスにも影響を及ぼす可能性があります。PTによると、脆弱な機器には屋外監視カメラ、DVR、スマートドアベルなどが含まれます。
PTのサイバーセキュリティレジリエンスリーダーであるリーアン・ギャロウェイ氏は、掃除機のセキュリティ上の欠陥がもたらす潜在的な影響について次のように説明した。「掃除機にはWi-Fi、暗視機能付きウェブカメラ、スマートフォンで操作するナビゲーション機能が搭載されているため、攻撃者は所有者を密かに監視したり、掃除機を「車輪付きマイク」として使用して最大限の監視能力を発揮したりすることも可能です。」
スマート?ThinQは勘弁!ハッキングされたロボット掃除機があなたの家を監視?
続きを読む
El RegはPTの調査結果をDiqeeに伝え、コメントを求めました。新たな情報が入り次第、この記事を更新します。
ハッキングされたロボット掃除機がユーザーの自宅をスパイする可能性があるとセキュリティ研究者が警告したのは今回が初めてではない。チェック・ポイントは昨年10月、LGのスマートホームデバイス「SmartThinQ」に脆弱性があることを公表した。メーカー側がこれらの脆弱性を修正した直後のことだ。
IoT セキュリティの専門家から、Diqee のケースは例外的なケースであり、大手メーカーの掃除機のセキュリティは最近「実はかなり安全」になっているという確実な情報を得ました。
それはいいですね。
欧州官僚はIoT規制で行き詰まる
関連する IoT のセキュリティに関するニュースでは、セキュリティ専門家や消費者団体が、IoT デバイスのセキュリティ認証を消費者向けデバイスに対して任意にするという EU の提案を非難しました。
セキュリティコンサルタント会社ペンテストパートナーズのディレクター、ケン・マンロー氏は、この提案を「IoTの混乱を整理するまたしても失われた機会」と評した。
マンロー氏の批判は、欧州消費者団体BEUCの批判にも反映されている。「(EU)議会は、スマートウォッチ、ベビーモニター、スマートロックといったコネクテッド製品に対するセキュリティ要件を義務付ける機会を残念ながら逃した」とBEUCは述べている。
いわゆるスマートケトルから三菱アウトランダー電気自動車に至るまで、インターネット接続デバイスをハッキングしてきたマンロー氏は、エル・レグ紙に対し、今後施行される英国のIoTサイバーセキュリティガイドラインがより強力になることを期待していると語った。®
