スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ

スマートフォンのアプリで操作できるOsramの照明器具シリーズ「LIGHTIFY」に9件の脆弱性が見つかり、一部が修正された。

[鈴木聖子，ITmedia]

　セキュリティ企業のRapid7は7月26日、ドイツのメーカーOsramのスマート照明器具シリーズ「LIGHTIFY」に見つかった9件の脆弱性について、情報を公開した。一部の脆弱性についてはOsramがパッチを公開している。

　LIGHTIFYは、スマートフォンのアプリで操作できる照明器具のシリーズ。家庭用と業務用の製品が販売されている。Rapid7によると、脆弱性を悪用されればネットワークの設定情報が流出したり、Web管理画面に対してクロスサイトスクリプティング（XSS）攻撃を仕掛けられたり、デバイス上でコマンドを実行されたりする恐れがある。

Osramの「LIGHTIFY」シリーズ

　中でも業務用製品のWeb管理コンソールに存在するXSSの脆弱性は、攻撃者が不正なJavaScriptやHTMLコードをWeb管理インタフェースに仕込んでシステムの設定を変更したり、製品を制御してユーザーのワークステーションに対してブラウザベースの攻撃を仕掛けたりすることが可能とされる。

Rapid7が公表した9件の脆弱性

　また、無線LANのWPA2暗号にデフォルトで脆弱なプリシェアードキー（PSK）が使われている問題では、WPA2 PSKを簡単に破られてしまう恐れがあるという。

　Rapid7によれば、この2件を含む5件の脆弱性についてはOsramがパッチを公開済みだが、7月26日の時点でまだ未解決の脆弱性も4件ある。

　同社は5月にこの問題をOsramに報告し、米セキュリティ機関のCERT/CCにも通知していたという。