脆弱なIoT機器をデストロイする攻撃あらわる
守備が堅い企業に侵入するには
IoTな「スマート」ディルド、セキュリティの杜撰さを指摘される
米Svakom社のSiime Eyeというディルド(写真はリンク先記事を参照)は、カメラとLEDを搭載しビデオ撮影ができるのだそうです。さらに近くのPCやスマートフォンにストリーミングもできるのだとか。ちなみにお値段は250ドル(約3万円)だそうです。
(そういう需要あるんですね……"The Fappening"の話を聞く限りはありそうですが)
例によって、この製品でもセキュリティはおざなりとのこと。
- WiFi APのパスワードは「88888888」
- WiFi APの名前は通常は固定(リンク先記事では東京に同製品のAPらしきものが見つかっている)
- APIパスワードはハードコード(空文字列)
- ユーザ名、IPアドレス、ポート番号もハードコード
- PCのブラウザでも普通にアクセス可能
- 詳細な(この製品には不要と思われる)設定もブラウザでアクセス可能
- JSONPを使うことでJavaScriptによる(ビデオを含む)データ抽出も可能
- Webインタフェースの脆弱性を突いて任意ファイルの読み書きも可能
とりあえず、もしこの製品をもっている人がいたら、WiFiパスワードだけは変更しておきましょう。
PCを修理サービスに出す際はご注意を。
米国の家電量販店Best Buyには、修理部門「Geek Squad」(日本語なら「オタク分隊ですかね)があるそうです。もし、ここに修理に出した後で、ハードディスクの中身を調べられるとしたら……。
「FBIが児童ポルノを探すためにGeek Squadの『密告者』に金を払っていたことが法廷資料により判明」
多くの州で、「顧客のPCに児童ポルノが見つかった場合の通報」が「法的に要求されていた(legally required)」そうです。ちなみに発見者には500~1000ドルが支払われていた模様です。現在の日本円なら6~12万円程度でしょうか。さらに、児童ポルノ検索ツールを開発した従業員もいたとか。
Best Buyは本件に対して「金銭を受け取った従業員がいたこと」に対して遺憾の意を表明しています。
米のISPプライバシー問題への反撃
米国での、プロバイダがブラウズ履歴などを自由に使って広告できるようになった問題について、対策が出てきています。
履歴を撹乱するツールたち
「プライバシー規制を抹殺する投票を受け、ユーザ達がウェブアクセス履歴の『汚染』を試みる」
1つは「ISP Data Pollution(ISPデータ汚染)」というpythonスクリプト。月に50GiB以下で、ランダムな単語の検索結果に基づいてWebをクロールします。
また、「RuinMyHistory(マイ履歴荒らし)」はWebサービスで、色々な有名サイト(の一部)をランダムにリダイレクトします。
「Noiszy」は、Chromeブラウザ用プラグインで、ユーザ自身が設定したサイトにアクセスします。
記事中にもありますが、これらのツールは「ノイズを追加」するものであり、有効性はあまり期待できないと考えた方がいいでしょう。
VPNやTorの利用
「VPNならプロバイダがあなたのデータを売るのを止められる ― しかしVPNも魔法の弾ではない」
VPNやTorは通信を完全に暗号化するため、プロバイダからは通信内容は見えません。しかし、VPNは運営会社をどこまで信用できるかが問題(自前でVPNサーバを立てれば確実ですが、その分コストと手間と技術が必要です)、Torは通信が遅くなるといったデメリットもあります。
州レベルでの規制
「連邦政府が許可しても州が認めない!」というわけで、プライバシー規制を求めて一部の州では独自に規制を
「少なくとも3つの州は、トランプが葬ったプライバシー規制の再整備を目指す」
メリーランド州、ミネソタ州、モンタナ州では、プライバシー規制のための動きがあります。
メリーランド州では、プロバイダを規制する州法に関して聴聞会を開いています。
モンタナ州では、2018年度の予算について、「顧客のデータを許可なしに販売するプロバイダには発注しない」という規定を入れました。
ミネソタ州でも、規制のための法案を練っています。
ただ、いずれも限界はあるでしょう(州法については、大手プロバイダ側は無視する構えですし、予算制約も、仮に全てのプロバイダが足並みを揃えたら効力を失います)。
それほどに強いのが連邦政府での決定であり、だからこそ問題というわけです。
米携帯キャリアVerizon、広告配信アプリをプリインストール
米国では、プロバイダが利用者のアクセス履歴に基づいて広告を行うことが許可されました(上院、下院に続いて大統領署名も完了)。
一方、それでも不十分ということなのか、携帯キャリアVerizon(米Yahooの買収交渉中)は、AppFlashというアプリをプリインストール。これに対してEFFなどは「スパイウェア」として批判しています。
- Verizon「AppFlashのプライバシー・ポリシー」
- Verizonの下のAOLの下のTechCrunchの(AppFlashに好意的ながらEFFの反応を追記した)記事「(スタートアップ企業の)Evie、Verizonと組んで、新しい検索体験をAndroidのホームスクリーンに持ち込む」
AppFlashは「おススメの映画やレストラン、音楽、アプリへのアクセスを提供する」というもので、「インストールしたアプリ」「詳細な位置情報」「連絡先」といった情報を集めて、外部に広告枠を売り、利用者に見せるというわけです。
EFFは、クラッカーがAppFlashの脆弱性を攻撃することについて、より大きな懸念を表明しています。
なお、AppFlashは端末の設定により位置情報や連絡先の取得を禁止でき、AOLの「Mobile Device Choice」Webページからは広告配信のオプトアウトは可能です(前者はともかく後者は手間すぎる印象ですが)。
スマートTVの大半は「電波で」クラックできる(※主にDVB-T方式)
たぶん日本ではあまり多くなさそうな印象を受けるのですが、海外には結構な数の「スマートTV」があるそうです。
これまでも、(先日のVault7で明らかにされたCIAのものも含めて)スマートTVのクラックは可能でしたが、それらは全て、物理的な接触が前提でした。つまり、家宅侵入が前提というわけです。クラック可能といっても、かなりハードルが高いといえるでしょう。
しかし、セキュリティ研究者Rafael Scheel氏はこの制約を越える方式を見つけました。
「スマートTV、約90%は不正な信号による遠隔ハッキングが可能」
これはHbbTVという「テレビでインターネット」サービスの標準規格を悪用するものです。HbbTVは日本だと「ハイブリッドキャスト」と似たものです。
簡単に言えば、実際の放送よりも強い電波に、悪意のあるHTMLデータをのせて流せば、脆弱性をついてクラックできる、ということだとか。今回使われたのは2015年に(Hacking Teamのデータ流出で)明らかになったFlashの脆弱性と、さらに以前から知られたJavaScriptの処理の脆弱性です。PCであれば更新によりこれらの脆弱性は対処できますが、テレビ内のソフトウェアは全体的に古く、更新もあまりされないため、古い脆弱性が使える模様です。
この電波を使った広域クラックは、電源OFFのテレビにも有効で、数分で完了できるため、追跡も非常に困難です。
前述したように、HbbTV規格は日本では使われていません。下記の記事には2016年1月(またはその少し前)の状況が書かれていますが、普及しているのはドイツ(シェア70%)やスペイン(80%)やスイス(80%)、続いてフランス(40%)や中~東欧諸国(約50%)といったところです。
ただし、放送で「実行可能なデータ」を送り込める場合、脆弱性がみつかれば、「不正な電波で攻略可能」というのを示した点で重要といえるのではないでしょうか。
