一般的なスマートホーム機器のアプリにはセキュリティ上の欠陥があることが判明

一般的なスマートホーム機器のアプリにはセキュリティ上の欠陥があることが新たな調査で判明テクノロジー

Amazon、SimpliSafe、Google Homeなどのデバイスは攻撃を受けやすい

フロリダ工科大学のサイバーセキュリティ研究によると、一般的なスマートホーム機器16機種のスマートフォン向けアプリケーションには、攻撃者が機器のトラフィックを傍受したり変更したりすることが可能な「重大な暗号上の欠陥」があることがわかりました。

錠前、人感センサー、防犯カメラ、スマートスピーカーなどのIoT(Internet of Things)デバイスが国内の家庭に普及するにつれ、その人気の高まりは、より多くの人々がサイバー攻撃の危険にさらされることを意味します。

「IoTデバイスは、鍵、アラーム、セキュリティカメラを接続することで、セキュリティに期待できます。」と、コンピュータ工学・科学助教授のTJ O’Connor氏と学生のDylan Jessee氏、Daniel Campos氏は、論文「Through the Spyglass」の中で書いています。

IoTデバイスは、鍵、アラーム、セキュリティカメラを接続することで、セキュリティに期待できます」と、コンピュータ工学・科学助教授のTJ O’Connor氏と学生のDylan Jessee氏、Daniel Campos氏は、論文「Through the Spyglass: Toward IOT Companion App Man-in-the-Middle Attacks.」の中で書いています。

しかし、攻撃者はIoTの未熟ながらも普及している性質を利用して、被害者をスパイしたり監視したりすることができます。

O’Connor氏はフロリダ工科大学のサイバーセキュリティプログラムを率い、IoTセキュリティ・プライバシーラボを指揮しており、インターネットに接続されたカメラのプライバシーに関する欠陥について、目を見張るような研究結果を出しています。

今年の夏には、第1回米国サイバーゲームズチームのヘッドコーチに就任しました。

O’Connor氏と彼の学生たちの研究は、消費者向けIoTデバイスの厄介な脆弱性に焦点を当てることが多く、最新の論文でもその焦点は継続されています。

今回の論文では、20台のデバイスを対象に、ログイン情報の窃取やスパイ行為などを目的とした「中間者攻撃」を行ったところ、16社のデバイスベンダーがセキュリティ対策を怠り、攻撃を可能にしていたことが分かりました。

「我々は、IoTの分散型通信アーキテクチャには、攻撃者が通信チャネルを傍受・操作し、IoTデバイスのユーザーレベルの認識に影響を与えることができる脆弱性が存在するという仮説を立てました。我々は、この(攻撃)をスマートホーム機器ベンダーの幅広い製品に適用し、悪意のあるユーザーの隠蔽、モーションレポートの抑制、カメラ画像の修正、ドアの解錠、履歴ログファイルの操作を行います。」と述べています。

この脆弱性が確認されたIoT機器は 「Amazon Echo」、「August lock」、「Blink camera」、「Google Home camera」、「Hue lights」、「Lockly lock」、「Momentum camera」、「Nest camera」、「NightOwl doorbell」、「Roku TV」、「Schlage lock」、「Sifely lock」、「SimpliSafe alarm」、「SmartThings lock」、「UltraLoq lock」、「Wyze camera」。

また、Arlo、Geeni、TP-Link、Ringの4社のデバイスは、研究者が行った攻撃の影響を受けないことが判明しました。

研究者らは、「我々の研究によって広範な不具合が発見されたが、ベンダーは、スマートホーム機器とそのアプリケーションの機密性と完全性を向上させるための対策を講じることができる。」と記しています。

研究者らは、論文の発表に先立ち、影響を受けるベンダーおよびアップル社に脆弱性を開示しました。

研究者が論文の中で強調しているように、ベンダーはこれらの攻撃を防ぐために、より強力なサーバー側の暗号実装を行う必要があります。

Wyze社は、8月に開催されたCyber Security Experiment & Test Workshopで研究者が調査結果を発表する前に、コンパニオンアプリケーションをアップデートしました。

この研究はOffice of Naval Research(アメリカ海軍研究局)がスポンサーとなって行われました。

脆弱性の発見を主導したのは、同大学の陸軍ROTC1アメリカ軍の協力のもとに、将校を養成するために大学で運営されているプログラム。 大学で通常の科目を履修しながら、軍人教育も受けます。の士官候補生であるDylan Jessee氏です。

Jessee氏は、入隊後、陸軍のサイバー分野での活躍を目指しています。

Published by Florida Institute of Technology. TJ OConnor et al, Through the Spyglass: Towards IoT Companion App Man-in-the-Middle Attacks, Cyber Security Experimentation and Test Workshop (2021). DOI: 10.1145/3474718.3474729
タイトルとURLをコピーしました