韓国Samsung Electronicsが展開する「スマート冷蔵庫」に中間者攻撃の脆弱性があり、隣人にGoogleサービスへのログイン情報を盗まれる可能性もあるという研究結果をセキュリティ研究者が報告している。
英Pen Test PartnersはIoTハッキングに関する研究の一環として、8月に開かれたハッキングカンファレンスのDefCon 23で、Samsungのスマート冷蔵庫「RF28HMELBSR」破りに挑戦した。この冷蔵庫はSamsungが展開するスマートホーム家電のシリーズ製品として2014年夏に発売され、「Smart Home」のアプリ経由で操作できる。
研究チームによると、同冷蔵庫はSSL接続を使って通信を行っているものの、SSL証明書のチェックに不備があり、ほとんどの接続に対して通信に割り込む中間者攻撃(MITM)を仕掛けられることが分かったという。
同冷蔵庫には、前面に搭載した液晶パネルにGmailカレンダーの情報を表示できる機能が付いているが、この情報をダウンロードするためのGoogleサーバへの接続にも、MITMの脆弱性があることが判明した。この問題を悪用され、例えば隣の家や自宅前の道路から被害者の冷蔵庫にアクセスされれば、Googleサービスへのログイン情報が盗まれる恐れもあるとしている。
研究チームは他にも同冷蔵庫のファームウェア攻撃やモバイルアプリの解析によるパスワード抽出などを試みたが、今回は時間切れに終わった。「それでも間違いなくさらなる調査に値する興味深いバグを発見した。MITMだけでも十分、Gmailのログイン情報を露呈させることができる」と報告している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
主要スマートウォッチ全てに重大な脆弱性が存在、HP調査
HPがAndroidやiOSを搭載したスマートウォッチ10種類のセキュリティを検証した結果、100%の確率で重大な脆弱性が見つかったという。
Samsung Galaxyに深刻な脆弱性、6億台に影響か
プリインストールされているSwiftKey製のキーボードに脆弱性が存在し、Galaxy S6/S5/S4/S4 Miniの各端末が影響を受けるという。
Samsung、スマートホーム製品を上半期に提供へ
「Samsung Smart Home」は、GALAXYシリーズのスマートフォンやGALAXY Gearで家庭内のエアコンや冷蔵庫、LED照明などをモニター/制御するクラウド利用のサービスだ。
冷蔵庫が迷惑メールを発信? 「モノのインターネット・IoT」のセキュリティ不安が現実に
ホームルータやネット接続型のテレビ、冷蔵庫といったスマート家電が不正侵入され、攻撃の踏み台として使われていたという。
電子タバコがハッキング? IoTの考えたくない未来
2014年は様々な情報セキュリティ上の事件や事故が多発した。その中から幾つか取り上げつつ、2015年以降の未来のセキュリティに向けたヒントを探ってみたい。