人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 18
ストーリー by headless
経路 部門より
経路 部門より
ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクト、
The Registerの記事)。
IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。
研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。
以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。
IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。
研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。
以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。
ハードコード (スコア:1)
うんこボタンは証明書のフィンガープリントだったし交換したので、まだマシなのか
# そもそもサーバとの間であって、アプリとじゃないはずだが
M-FalconSky (暑いか寒い)
Re:ハードコード (スコア:1)
まぁ、現実的なところで、じゃぁ、どうやって暗号鍵をアプリとデバイス間で共有するかという問題はあって、
最初のハンドシェークは十分安全な状況で行われると仮定して、そこで交換するぐらいしかないよなぁ。
デバイス側にデバイス固有の鍵を書き込んでおいて・・・っていうのもアリではあるけど、大量生産ってことを
考えると、シリアルとかの固有番号をファームに書き込むのはいろいろと大変ではあるんだよなぁ。
TPMでも乗っけるぐらいの余裕があればいいんだけどさぁ。
Re: (スコア:0)
耐タンパ性がないなら、出荷時にハンドシェイクが済んでても状況は変わらないんじゃ。
Re: (スコア:0)
耐タンパまで考えるとなるとさらにハードルが上がるけど、さすがにそこまで要求するといくらになるのですかねぇっていう部分が。
Re: (スコア:0)
開かない前提なら、「通信経路の暗号化」「認証につかう鍵(パスワード)のハードコード禁止」「ブルートフォース対策」の3つで十分だろうから、ストーリーで暗号化通信とハードコードを検証してるのは合理的だと思う。
むしろ歓迎 (スコア:0)
最近のはとにかく情報送信しがちだから純正アプリを使いたくない。
セキュアに作られていない人気IoTはオープンソースの非公式アプリが登場したりと攻撃リスクよりもメリットの方が大きい。
#アクティビティトラッカーは非公式アプリ一択
Re: (スコア:0)
コンパニオンアプリってなんだろ
メーカー謹製情報収集マルウェア?
bluetoothでペアリングしていても? (スコア:0)
イタズラするのは難しいと思うがどうだろう。
Re:bluetoothでペアリングしていても? (スコア:1)
より正確にはイタズラするのは簡単だけどイタズラ以上のことをするのは難しいってところじゃないかな。
# イタズラの境界とは?
Re: (スコア:0)
IoTデバイスのペアリングなんて0000と1234試せば8割くらい当たるだろ。
今つながっているから受け付けない、というなら切ればいいだけ。通信は暗号化されてないんだから。
Re: (スコア:0)
bluetooth って機器側でペアリングモードにしないとペアリングできないんじゃないんだっけ。
IoTとひとまとめにするのはちょっとおバカ (スコア:0)
Wi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択した
アメリカで大流行してるスマートスピーカーとか、ペット監視用のwifiカメラとか、そういうのに対して外部から通信データを盗み見たり、制御奪ったりできたというのならまだしも・・・
Re: (スコア:0)
> wifiカメラとか、そういうのに対して外部から通信データを盗み見たり、制御奪ったりできたというのなら
もしかして、こんな記事(「中華ウェブカメラ」のセキュリティについて [hatenablog.com])がお望み?
Re:電灯のスイッチに鍵ついてるか? (スコア:1)
スマートスピーカやスマホから操作できるWifi接続の学習リモコンの事かと
Re:電灯のスイッチに鍵ついてるか? (スコア:1)
鍵がついてないからこそ大きな問題 [twimg.com]になってるのさ。
Re: (スコア:0)
電灯のスイッチや赤外線リモコンがインターネットにつながるのでしょうか
Re: (スコア:0)
アイロンがインターネットに繋がってたじゃないですか