ニュース
スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ
スマートフォンのアプリで操作できるOsramの照明器具シリーズ「LIGHTIFY」に9件の脆弱性が見つかり、一部が修正された。
セキュリティ企業のRapid7は7月26日、ドイツのメーカーOsramのスマート照明器具シリーズ「LIGHTIFY」に見つかった9件の脆弱性について、情報を公開した。一部の脆弱性についてはOsramがパッチを公開している。
LIGHTIFYは、スマートフォンのアプリで操作できる照明器具のシリーズ。家庭用と業務用の製品が販売されている。Rapid7によると、脆弱性を悪用されればネットワークの設定情報が流出したり、Web管理画面に対してクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、デバイス上でコマンドを実行されたりする恐れがある。
中でも業務用製品のWeb管理コンソールに存在するXSSの脆弱性は、攻撃者が不正なJavaScriptやHTMLコードをWeb管理インタフェースに仕込んでシステムの設定を変更したり、製品を制御してユーザーのワークステーションに対してブラウザベースの攻撃を仕掛けたりすることが可能とされる。
また、無線LANのWPA2暗号にデフォルトで脆弱なプリシェアードキー(PSK)が使われている問題では、WPA2 PSKを簡単に破られてしまう恐れがあるという。
Rapid7によれば、この2件を含む5件の脆弱性についてはOsramがパッチを公開済みだが、7月26日の時点でまだ未解決の脆弱性も4件ある。
同社は5月にこの問題をOsramに報告し、米セキュリティ機関のCERT/CCにも通知していたという。
関連記事
- 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も
防犯カメラのみで形成するボットネットから大規模なDDoS攻撃が仕掛けられる事件が発生した。 - 「IoT時代のセキュリティ対策」はどうすべきか
あらゆるモノがインターネットにつながる「IoT」への関心の高まりとともに、そのセキュリティへの懸念も強まっている。IoT時代のセキュリティ対策は、もはや「対症療法」では追いつかない。これを私たちは肝に銘じておくべきだ。 - 走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験
セキュリティ研究者が走行中の自動車を乗っ取ってアクセルやブレーキを無線で遠隔操作する実験を披露した。 - 家のIoTの“危ない”ところを図にしてみると……
安全なIoTの仕組みを開発する上でのポイントを分かりやすく示したガイドをIPAが作成した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.