事例Use case

【Bitdefender海外ブログ】Supraスマートテレビ、乗っ取りによる偽の緊急アラートなどが再生される恐れ

2019.8. 7

ツイート シェア 送る はてブ

test-pattern-152459_960_720.png

テレビに偽の映像を流すこともできる脆弱性が見つかる

ことセキュリティに関して、スマート機器は名前負けしている感が否めません。あるバグハンターが、Supra Smart Cloud TVの動画ストリームが悪意のある者に乗っ取られる欠陥を発見し、新たな証拠動画を公開しました。

想像してみてください。ソファにゆったり座って映画『ジョン・ウィック』の最新作を見ていたら、テレビ画面に緊急アラートが点滅し始めます。バグハンターであるDhiraj Mishra氏は、その様子の検証動画を紹介しました(下に動画リンクがあります)。唯一の違いは、選んだのがキアヌ・リーブスの大ヒット作ではなく、スティーブ・ジョブズの基調講演ということだけです。

https://youtu.be/2babA1KVpdw

問題の脆弱性(CVE-2019-12477)は、openLiveURL機能に見つかりました。Mishra氏のブログに書かれた説明によると、この脆弱性により、認証のないローカル攻撃者に偽の動画を流される恐れがあります。

Mishra氏は最初にソースコードレビューでこの欠陥を見つけ、他の悪用手段も試してみることにしました。アプリをクロールして各リクエストを読んでいるうちに、脆弱性を引き起こすことに成功しました。

バグハンターのMishra氏は、英IT総合誌The Registerに以下のことを述べています。「ごく普通のユーザーがアクション映画か何かを見ている時に、攻撃者はリモートファイルインクルード(RFI)攻撃をしかけ脆弱性を引き起こします。テレビを完全にコントロールした攻撃者は、何でも放送させることができます。どんな偽の緊急メッセージも放送でき、最悪の場合には一括削除のメッセージを流すこともできます。」

Mishra氏によるとベンダーへの問い合わせ窓口は見つからず、欠陥は未パッチの状態で放置されています。

翻訳元記事:Supra smart TVs can be hijacked to play false Emergency Alert (or anything else)

家庭のIoT機器を乗っ取られないために

ハッカーはルーター、スマートテレビ、ウェブカメラなどのセキュリティ上の欠陥(脆弱性)を狙って、DDos攻撃などに利用します。SECURIEに付属するセキュリティルーターBitdefender BOX 2は、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

1.脆弱性診断
指定したデバイスをスキャンして脆弱性のチェックを行います。脆弱性が見つかった場合、検出した脆弱性の内容(弱いID/パスワード、古いファームウェア、CVE脆弱性など)を、管理アプリでユーザーに通知します。

買ったばかりのTVに脆弱性がなんと47個も見つかりました。

TV_vulnerability.png


2.ネットワークの出入り口を守るセキュアゲートウェイ
ディープ・パケット・インスペクション
パケットフィルタリングの一種で、Bitdefender BOXをパケットが通過する際にパケットのデータ部を検査し、攻撃があった場合には防御します。

不正侵入検知(IDS)/ 不正侵入防止(IPS)
パケットに含まれるデータを確認し、BOXへの不正なアクセスの兆候を検知し管理アプリに通知(IDS)、自動的にブロック(IPS)します。

SECURIEの役割_HOME.PNG