ほとんどすべてのガジェットや家電製品がインターネットに接続できるからといって、そうあるべきだと限らない自体が発生した。停電はこれらの「スマートな」デバイスを無用のものにしてしまう可能性があり、そしてそれらのデバイスの多くはハッキングされやすい脆弱なセキュリティを使用している。
最近になってある研究者が人気のあるセックス・トイに重大なセキュリティ上の欠陥があることを発見した。これにより、何万人ものユーザーの股間が壊滅的な結果を招く可能性がある。
英国を拠点とするセキュリティ会社のPen Test Partnersによると「世界初のアプリ制御型貞操観念デバイス」とうたわれているQiui Cellmateのインターネット接続型貞操観念ロックに欠陥があり、誰でも遠隔操作でユーザーのペニスを永久にロックできる可能性があったとのこと。
Qiuiの貞操ロックは、信頼できるパートナーがモバイルアプリを使ってBluetoothで遠隔操作でチャンバーをロック、ロック解除できる。そのアプリはAPIを使ってデバイスと通信するのだが、そのAPIはパスワードなしでオープンなままアクセス可能になっており、誰でもユーザーのデバイスを完全にコントロールできるようになっていたそうだ。
研究者によると、チャンバーはユーザーのペニスの下にある金属リングでロックするように設計されていたので「ユーザーを解放するには頑丈なボルトカッターや角度研磨機の介入が必要になるかもしれない」とコメントしている。
Pen Test Partners研究者であるAlex Lomas(アレックス・ロマス)氏はブログ記事で「攻撃者が全員の出入りを非常に素早くロックすることができる。緊急時のオーバーライド機能もないので、ロックされてしまった場合、脱出方法はありません」と書いている。また、セキュリティ保護されていないAPIは、ユーザーのアプリからプライベートメッセージや正確な位置情報にアクセスすることもできた。
TechCrunchがこの脆弱性の存在を初めて知ったのは6月のことだ。研究者は中国に拠点を置くQiuiに、欠陥のあるAPIについて連絡を取った。脆弱性のあるAPIをオフラインにするとデバイスを使用している人は誰でもロックされてしまうため、開発者は新規ユーザー向けに新しいAPIを提供したが、既存ユーザー向けには安全ではないAPIが残ったままになっていた。
Qiuiの最高経営責任者であるJake Guo(ジェイク・グオ)氏は TechCrunchに対し、修正版は8月中に完成するだろうと語っていたが、その期限は過ぎた。「私たちは限られたチームです」と語り、ユーザーへのリスクを説明するフォローアップメールで同氏は「私たちが修正すると、さらに多くの問題が発生します」とも述べていた。
ロマス氏によるとQiuiは結局、脆弱性のあるAPIを修正するために課された3つの自主的な期限を逃した。公開を決定したのは、別の研究者から別のセキュリティ問題が発生したことを知ったPen Test Partnersが、Qiuiからの回答を得るのが難しいと判断したことがきっかけだ。「明らかにほかの研究者は、私たちとは無関係にこれらの問題を発見する可能性が高いため、公益性を考慮して公開することにしました」とロマス氏。
誰かが悪意を持って脆弱性のあるAPIを悪用したのかどうかは不明だ。ただ、アプリのいくつかのユーザーレビューはデバイスがロックされたままになるバグをアプリを持っていたことを訴えていた。具体的には以下のようなレビューがある。
3日後にアプリが完全に動かなくなり、困っています!
アプリの信頼性が低いため、装着時に既に2回引っかかっています。
1カ月くらいは動いていたのですが、もう少しで引っかかるところでした。幸いにもランダムにロックが解除されて脱出できました。その装置は、回復に1カ月近くかかる傷跡を残しました。
Qiuiは、インターネットに接続されていないデバイスには本来存在しないセキュリティ上の問題を持つ性具の長いリストに加わりました。2016年には研究者は、Bluetoothを搭載したPanty Buster(パンティバスター)のバグが、誰でもインターネット上でセックスのおもちゃを遠隔操作できるようにしたことを発見。2017年には、スマートなセックス玩具メーカーが、ユーザーの「非常に親密で機密性の高いデータ」を収集して記録していたとして告発された後、訴訟で和解した。
安全なセックスを実践し、スマートデバイスは使わないようにしよう。
カテゴリー:セキュリティ
タグ:Qiui Cellmate
[原文へ]
(翻訳:TechCrunch Japan)