スマートウォッチに偽の「薬を服用」アラートを送れる脆弱性が発覚

download - スマートウォッチに偽の「薬を服用」アラートを送れる脆弱性が発覚 最新ニュース
セキュリティ研究チームによると、高齢者や認知症患者が多く利用しているスマートウォッチに攻撃者が簡単にデバイスの制御を奪える脆弱性があった。
こうしたスマートウォッチは、利用者が医療関係者に簡単に電話をかけたり、医療関係者が利用者の居場所を追跡したりするためのものだ。携帯電話回線を利用できるため、どこにいても動作する。
しかし英国のセキュリティ企業であるPen Test Partnersの研究チームが、スマートウォッチをだまして偽の「薬を服用」リマインダーを利用者に何回でも送信できることを発見したと述べた。
Vangelis Stykas(ヴァンゲリス・スティカス)氏はブログの投稿で「認知症患者は薬を飲んだことを覚えていない傾向があり、簡単に過剰摂取になりかねない」と記した。
脆弱性のあるスマートウォッチに研究者が「薬を服用」アラートを表示させた(画像提供:Pen Test Partners)
この脆弱性は、スマートウォッチで利用されるSETrackerとして知られるバックエンドのクラウドシステムで発見された。このクラウドシステムは、ほかにもヨーロッパ中で多数のホワイトラベルのスマートウォッチや車両追跡デバイスで利用されていて、研究チームによればそのすべてに初歩的な攻撃に対する脆弱性があったという。
研究チームはバックエンドのクラウドシステムを利用するソースコードのコピーを発見し、コード中のセキュリティの問題を見つけた。発見された大きな欠陥のひとつはサーバーがハードコードされたキーを使っていたことで、この場合、攻撃者はデバイスをリモートで制御するあらゆるコマンドを送信できる。
このキーを使うと、攻撃者は「薬を服用」アラートを起動したり、デバイスからひそかに電話をかけたり、テキストメッセージを送信したり、車両追跡デバイスの場合はエンジンを完全に切ったりすることができる。
このコ

リンク元

Copied title and URL