読者です 読者をやめる 読者になる 読者になる

今度はIoTオーブンがSMSで悪用できると判明

IoT脆弱性ネタはもはや定番と化していますが、また新たなエントリです。

「SMSで乗っ取れるスマートオーブンは本当に『スマート』?」

www.bleepingcomputer.com

Agaというところの「スマート・オーブン」は、GSM規格のSIMを挿すことができて、SMSで指令ができるそうです(機種にもよるのでしょうが、少なくとも一部は、プロ仕様のオーブンで、加熱にも時間がかかるそうです)。ただ、これだけだと「SIMの電話番号が分からなければ送信できないはず」と考えるところです。

しかし悪いことに、メーカーの用意しているWebコントロールパネルには問題があり(後の部分を読む限り、HTTPのみ、かつ、パスワードが5桁の数字なので総当り攻撃が容易ということでしょうか)、番号が取り出せてしまうのだとか。さらにオーブン側には認証の仕組みがないため、番号さえ分かれば自由に操作できてしまうようです。

メーカーは指摘に対して応答せず、今回の公開に至っています。なお、このオーブンの本来のメーカーはTekelekといい、他にも各種のSMSで管理可能な機器を作っているとか。