スマートホーム製品というのはなるほどそこそこ便利だが、家に呼び入れたデバイスのWiFiを誰かが悪用しようと考える可能性があることは知っておく必要がある。
しかし多くのユーザーはロボット掃除機もこのカテゴリーに入るとは考えなかっただろう。
エンタープライズ・セキュリティーを提供する企業、Positive Technologiesの研究者2人はDongguan Diqee 360シリーズのロボット掃除機に存在するセキュリティー上の脆弱性に関して詳しい情報を公開した。このロボット掃除機は広東省東莞市のスマートホーム・デバイスのメーカー、Diqee
Intelligence(缔奇智能)の製品で、 WiFiと360度カメラを備えている。これにより家の中を動き回って監視するダイナミック・モニタリングが可能だというのが売りだ。しかしこの機能に悪用の危険性があるといいう。
CVE-2018-10987として知られるリモートでコードが実行される脆弱性により、デバイスのMACアドレスを知っているハッカーはシステム管理者の権限を乗っ取ることができる。今回のレポートによれば、脆弱性はREQUEST_SET_WIFIPASSWD関数内に存在する。この関数を使用するためには認証が必要だが、デフォルトのユーザー名/パスワードはadmin/888888という弱いものだった。
脆弱性が確認されたのはDongguan Diqee 360ロボット掃除機だが、研究者は同じビデオ・モジュールを使っている他のデバイス、屋外監視カメラやスマートドアホン、デジタルビデオレコーダーなどにもこの脆弱性があるのではないかと懸念している。Diqeeではロボット掃除機を他のブランドでも販売しており、研究者はこうしたOEM製品にも同様の脆弱性があるだろうと考えている。
Positive Technologiesはロボット掃除機には別のリモートコード脆弱性、CVE-2018-10988も存在することを発見したが、これを悪用するためには掃除機のSDカードスロットに物理的にアクセスする必要がある。
ロボット掃除機には「プライバシーカバー」が付属する。Diqeeによればこれは物理的にカメラを覆って情報のリークを防ぐものだ。Positive Technologiesはメーカーに脆弱性について通報したが、今のところまだ修正パッチは発行されていない。TechCrunchではDiqeeに取材を試みているが、この記事を執筆している時点では回答がない。
Positive Technologiesのサイバーセキュリティー責任者、Leigh-Anne Gallowayは「このロボット掃除機を含め、IoTデバイスはすべて乗っ取られてボットネットに組み込まれ、DDoS攻撃の足場に利用される可能性がある。しかしまだそれなら所有者に直接の被害は及ばない。ところがナイトビジョン・ウェブカメラ、スマートフォンによるナビゲーション、WiFiをハッカーが悪用すれば所有者を密かに監視することが可能になる。最大の監視能力を持った、いわば車輪付き盗聴器だ」と述べた。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)