事例Use case

【Bitdefender海外ブログ】Ring DoorbellユーザーのWi-Fiパスワードが流出する脆弱性をBitdefenderが発見

2020.5.21

ツイート シェア 送る はてブ

doorbell-143467_960_720.jpg

家庭のWi-Fiにつながるすべての機器に侵入される可能性が

PCMaGからIoTデバイスの調査を依頼されたBitdefenderは、攻撃者がアマゾンのRing Video Doorbell ProのユーザーからWi-Fiパスワードを盗むことができる脆弱性を発見しました。

アマゾンのRing Video Doorbell Proは素晴らしい製品ですが、IoTエコシステムにおける全てのデバイスと同様、常に悪意のある攻撃の対象です。Bitdefenderは、攻撃者がRing Doorbellとユーザーの通信を傍受できる脆弱性を発見しました。

ユーザーの内部ネットワークへの侵入は、単に製品へアクセスすることと比べると、はるかに深刻な問題です。侵入を一度でも許してしまうと、スマートアシスタントやNASサーバー、認証の弱いコンピューターなどあらゆるデバイスへ容易にアクセスできてしまいます。

ユーザーは、Wi-Fiに複雑なパスワードを設定し、周辺デバイスのセキュリティを強化することができますが、ルーターのデフォルトユーザーIDやパスワードを変更する人がどれだけいるでしょうか。

攻撃者は、IEEE 802.11 (Wi-Fi)プロトコル上の既存設定を悪用してRing Doorbellに認証取消をさせます。本来ならば、特定のMACアドレスからの認証取消要求のみ受け入れますが、MACアドレスは専門デバイスで見つけ出すことができ複製することができます。

ユーザーは、デバイスがネットワークに接続していないことに気づいたら設定をしなおしますが、ここに問題が潜んでいます。Ring DoorbellとユーザーはHTTP経由で通信をとり、Wi-Fiパスワードが流出してしまいます。

アマゾンは早急に脆弱性を修正し、Ring Doorbellの設定時の通信は暗号化されるようになりました。幸運なことにRing アプリのユーザーIDとパスワードはAPI経由で通信され、安全性が疑わしいチャネル経由で送信されることはありません。

技術的な詳細や概念実証に関してはBitdefenderのホワイトペーパーをご覧ください。アマゾンが自動アップデートをトリガーしたので、この方法で悪用できなくなりました。

翻訳元記事  Bitdefender Finds Ring Doorbell Vulnerability that Exposes User's Wi-Fi Password

SECURIEでスマート家電やIoT機器を保護

SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

SECURIE_200521.PNG1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

Top_200521.PNG

2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

デバイス_200521.PNG

3.脆弱性診断(セキュリティ診断)
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

脆弱性レポート_200521.png