Bluetooth接続のヘアアイロンに、あってはならないことが起きた。
英国企業のGlamoriserは「世界初のBluetoothヘアアイロン」のメーカーであると宣伝している。ユーザーがヘアアイロンとアプリを接続すると、温度やヘアスタイルを設定できる。Bluetoothの通信範囲内にいれば、アプリでヘアアイロンのスイッチをオフにすることできる。
しかし大きな問題がある、このヘアアイロンはハッキングできるのだ。
Pen Test Partnersのセキュリティ研究チームがヘアアイロンを購入してテストしたところ、悪意のあるBluetoothコマンドを送信して簡単にヘアアイロンをリモート操作できることがわかった。
研究チームは、ヘアアイロンの最低温度である50度や最高温度である235度に設定したり、電源が切れるまでの時間を変えたりするなど、いくつかのコマンドをBluetoothで送信できることを示した。ヘアアイロンは認証を求めないので、攻撃者はリモートで乗っ取り、ヘアアイロンの温度を変えたり最長20分間動作させたりすることができる。
Pen Test PartnersのStuart Kennedy氏はブログの投稿についてTechCrunchに最初に知らせた。そのブログの中で同氏は「スマートフォンと接続するときにBluetoothのペアリングやボンディングを求めないので、通信範囲にいる人は誰でもヘアアイロンを制御できる」と述べている。
同氏は「ただしこのヘアアイロンの同時接続は1つだけだ。攻撃できるのは、所有者がスマートフォンと接続していないときや通信範囲内にいないときに限られる」としている。
危険性は数字が物語っている。研究チームが発見したように、ヘアアイロンを235度にして20分間動作させておけば火災の原因になるし、少なくとも火傷を負うだろう。
英国ではヘアアイロンなどのスイッチを入れっぱなしにしていたことによる住宅火災が2016年までに65万件発生したと推計されている。熱せられた器具が安全な温度に下がるまでに30分以上かかることもある。英国の消防当局は火災や火傷を防ぐために器具のコンセントを抜くよう呼びかけている。
この記事の公開前にGlamoriserにコメントを求めたが、回答はなかった。アプリは2018年6月以降アップデートされていないため、この危険性はまだ修正されていないと考えられる。
画像:Glamoriser / file photo
[原文へ]
(翻訳:Kaori Koyama)
