事例Use case

【Bitdefender海外ブログ】Augustのスマートロック 家は安全でもWi-Fiパスワードが危ない

2020.8.21

ツイート シェア 送る はてブ

Secure-system-concept-on-Video-Wall-000051618190_XXXLarge.jpgAugust(オーガスト)のスマートロックは不審者の侵入を防いでくれますが、熟練のハッカーならユーザーのWi-Fiパスワードを見つけることができてしまいます。物理的なプライバシーは守られても、デジタルライフが危険にさらされてしまいます。

スマートロックは、鍵を持ち歩く負担から解放されるので、セキュリティ対策の一つとして導入するにはとてもいい製品です。サービス業にとっても有益で、スマートフォン上で数回タップするだけで、施設への出入りを管理することができます。

他の電化製品と同様に、Augustスマートロックの安全性も重要です。脆弱性があると、多くの人を危険にさらす可能性があります。幸いAugustスマートロックは直接インターネットに接続しません。インターネット接続にはConnect Wi-Fi Bridgeを使用します。



★SECURIEなら
自宅のIoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!
【製品レビュー】自宅のスマート家電のセキュリティ状態が一目でわかる「SECURIE(セキュリエ) powered by Bitdefender」



スマートロックからWi-Fiパスワードが漏えいする仕組みとは?

BitdefenderはパートナーであるPCMagと共に、過去数年にわたって多くのスマート家電を調査してきました。Augustスマートロックもその一つです。調査ではロックを解除し、不審者に侵入を許す方法は見つかりませんでした。しかし、適切なツールを使って、ユーザーのWi-Fiパスワードを見つけることができてしまいました。

「スマートロックはスマートフォンの管理アプリと暗号化通信を行っていますが、暗号化キーがアプリの中にハードコード(プログラムのソースコードに値を直接書くこと)された形で保存されていることがBitdefenderのIoT脆弱性リサーチチームによって明らかになりました」とホワイトペーパーで詳細を記載しています。「これにより、ネットワーク範囲内に侵入した攻撃者がトラフィックを盗聴し、Wi-Fiパスワードを傍受することが可能になります。」

スマートロックと通信するConnect Wi-Fi Bridgeの暗号化キーがハードコードされているため、このような攻撃が可能になります。開発者はAES/CBC暗号化を使って通信を難読化しますが、ハッカーが暗号化キーを直接取得できる状況では無意味です。

高度な技術知識を持つ犯罪者だけが、このプロセスを通過できます。しかし今や手口の詳細が一目でわかるようになってしまったので、自動化ツールを開発して、攻撃手順をはるかに簡単にすることができてしまうかもしれません。

責任ある開示(脆弱性を修正する時間を取った後に公表する)のルールにのっとり、Bitdefenderは2019年12月9日にAugustに連絡しました。メーカーがスマートロックの脆弱性を認めたため、Bitdefenderは数日後にこの脆弱性を予備登録しました(CVE-2019-17098)。2020年6月に正式に公表される予定でしたが、残念ながらメーカーから返答が止まってしまったため、Bitdefenderが公表することになりました。

脆弱性についての詳細は、こちらのホワイトペーパーをご覧ください。

翻訳元記事 August Smart Lock Keeps Your House Safe But Not Your Wi-Fi Password

SECURIEでスマート家電やIoT機器を保護

SECURIE (セキュリエ)powered by Bitdefenderはご家庭のwi-fiネットワーク全体を保護する、ホームネットワークセキュリティです。パソコン、スマートフォン、タブレットだけでなく、インターネットに接続するテレビ、スマートスピーカー、ゲーム機、デジタルビデオレコーダーなどを含む、全てのネット接続機器をサイバー攻撃の危険から保護します。

1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

1.Top.PNG2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

2.デバイス一覧.PNG3.脆弱性診断
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

4.脆弱性レポート.png