IoTベビーモニターのハッキングは子どもの遊び

IoTセキュリティニュース

micam-768x403.jpeg

ベビーモニターを購入した目的は、幼い子供の安全を心配し、危険から守るためだったでしょう。

しかし、インターネットを利用する監視用デバイスが増えているため、私たちは、見知らぬ人に子供たちを見張られる、盗聴される、さらには話しかけられるなどの危険にさらしてしまう可能性があります。

オーストリアのセキュリティ調査員は、重要なセキュリティ脆弱性の影響により、最新のベビーモニターが非常に現実的なプライバシーの問題を引き起こす、と警告しました

注目されているデバイスはmiSafes社のMi-Camで、「全ての人のためのWi-Fiリモートビデオモニター」と謳っています。720P HDビデオカメラ、双方向通話機能、無料のローカルビデオ録画機能を搭載し、iPhoneやAndroidスマートフォン用の「ユーザーフレンドリーな」アプリでコントロールします。

SEC コンサルトの調査員によると、Mi-Camには古いファームウェアも含まれていて、多くの既知の脆弱性の影響を受けやすくなっています。その結果、1回のHTTPリクエストを変更するだけで、子供の託児所を覗き見したり、近くにいる人と会話することができてしまいます。

彼らの分析で調査員が注目したのは、アプリやモニター自体と、それに応答するクラウドインフラとの間の通信です。多くの分野で欠点が発見されています:

  1. セッションマネジメントが壊れている &ダイレクトオブジェクトレファレンスが安全ではない
  2. パスワード変更時の確認用コードが無効になっていない
  3. 利用可能なシリアルインターフェース
  4. 認証の初期設定の強度が弱い
  5. ユーザーアカウントの一覧表示
  6. 古くて脆弱性があるソフトウェア

アプリ自体には調査員はそれほど注力していませんでしたが、それでも欠陥が見つかりました。例えば、カメラの制御に使用するAndroidアプリも簡単に侵入されてしまいます。

「セッション管理が壊れているため、攻撃者が任意のセッショントークンを使って多数の重要なAPIを呼び出すことが出来てしまいます。」

「これにより、攻撃者は、提供されたアカウントと接続しているビデオベビーモニターに関する情報を取得できます。この機能によって取得した情報は、提供されたUIDに接続するすべてのビデオベビーモニターを表示して操作するのに十分です。」

このYouTubeのビデオで、Mi-Camビデオモニターのハイジャックがどれほど簡単にできるかを実演しています。

今では、IoTデバイスに脆弱性があると(好んでではありませんが)受け入れることができます。私は、子供たちを守りたいと考えている両親に対してインターネット接続型デバイスが販売されているが、安全が最優先事項として考えられていないことも(全く納得していませんが)分かっています。

本当に憤りを覚える点は、調査員に対するMi-Camのメーカーの対応です。2017年12月から責任を持ってMiSafesや中国のコンピュータ緊急対応チームに脆弱性を開示し、優先事項として修正対応できるようにしているにもかかわらず、彼らはすべて無反応です。

だからこそ、調査員はウィーンで開かれたサイバー犯罪会議で今週の調査結果を発表し、懸念を表明したのです。

彼らの見解では、製品には問題が残っており、修正予定のタイムラインもありません。そのため今後の案内があるまで、ユーザーはベビーモニターをオフラインにしておくべきだ、とアドバイスしています。

恐ろしいことに、これはIoTデバイスの長い歴史の中で、プライバシーやセキュリティの保護に関する取り組みが不足していることが判明した、最新の出来事のひとつに過ぎません。間違いなく、今後もっと多くの問題が発生するでしょう。次回Amazonで安価なIPカメラを購入するときには、このことを覚えておいてください。