人気のビデオ監視カメラ「Dropcam」は、「超シンプルなセキュリティ」を謳っています。しかし、2人の研究者が今週後半に開催されるハッキングカンファレンス「Defcon」で、Dropcamがいかにして弱点になり得るかを示す予定です。
セキュリティ会社 Synack に勤める Patrick Wardle 氏と Colby Moore 氏は、200 ドルの Dropcam を分解し、そのソフトウェアの仕組みを解明しました。
研究者らは複数の脆弱性を発見したが、いずれもリモートオンラインアクセスを可能にするものではなかった。しかし、調査の結果は、インターネットに接続された組み込み機器(いわゆる「モノのインターネット」)の普及が進んでいることによるセキュリティ問題の兆候を示していると述べている。
Googleは既に、IoT(モノのインターネット)やホームオートメーション向けデバイス分野で大きなシェアを獲得しています。同社は、インターネット接続型サーモスタットや煙探知機を製造するNest Communicationsを所有しており、6月にはDropcamを買収しました。
組み込み機器は通常、セキュリティソフトウェアを実行せず、「消費者が機器の整合性を検査するのは非常に難しい」とセキュリティ研究エンジニアのムーア氏は電話インタビューで語った。
「人々は、それが基本的にミニコンピュータであることに気づいていない」と彼は語った。
ドロップカム
Dropcamはオンラインビデオストレージのサブスクリプションプランを販売しています。ユーザーがビデオを視聴したい場合、Dropcamに同梱されているデジタル証明書を検証し、アクセスを許可します。
ムーア氏とウォードル氏は、解析したDropcamからプライベートおよびパブリックのSSL(Secure Sockets Layer)証明書を抜き出しました。これらを入手すれば、誰かが保存した動画を閲覧したり、特定のDropcamから送信されたように見せかけた動画をアップロードしたりすることが可能になります。
「これにより、攻撃者は基本的にビデオストリームをハイジャックしたり乗っ取ったりすることが可能になる」とウォードル氏は述べた。
Nestの広報担当者は電子メールでの声明で、そのような攻撃にはDropcamへの物理的なアクセスが必要だと述べた。
「Synackの担当者は、当社のカメラを遠隔操作で侵害することはできませんでした。物理的にアクセスできるカメラのみに侵入したのです」と広報担当のケイト・ブリンクス氏は述べている。「これは特異な問題ではありません。」
しかし、攻撃者が Dropcam を購入し、それをギフトとして誰かに渡すことは、本質的にはビデオを監視可能にするトロイの木馬攻撃である可能性も否定できません。
パトリック・ウォードル Synack の Patrick Wardle 氏。
「これは実現不可能なことではない」とウォードル氏は語った。
ドイツの雑誌「デア・シュピーゲル」は昨年末、米国国家安全保障局(NSA)のテーラード・アクセス・オペレーション局が、新しいコンピュータ機器の配送を傍受し、スパイウェアを仕掛ける「阻止」プログラムを実行していたと報じた。同誌は、このプログラムはNSAが実施したプログラムの中で最も成功したものの一つだと述べている。
ウォードル氏によると、DropcamのストレージサービスはAmazon Web Services上で提供されており、深く調べることはなかったという。しかし、デバイスのSSL証明書を使って動画をアップロードすることは可能だった。
「カメラを装ってクラウドにストリームを配信することができた」と、シナックの研究ディレクターであるウォードル氏は語った。
彼らはまた、NSA スタイルの阻止攻撃と同様に、新しい Dropcam によって人のコンピュータに配信される可能性のある、Apple の OS X 用の悪意のあるソフトウェアも作成しました。
ウォードル氏とムーア氏は、このコードを「インプラント」と呼んだ。ウォードル氏によると、このコードはAppleの基本的なマルウェア対策プログラムであるXProtect、Macストアや既知の開発者以外から提供されたアプリケーションをブロックするGatekeeper、そして適切に署名されたカーネルドライバを必要とするOS X Mavericksの防御機能を突破したという。
このインプラントにより、ハッカーはDropcamのライブ映像を遠隔で視聴し、強力なマイクをオンにすることが可能になります。これはいわゆる「ホットマイキング」攻撃です。ムーア氏によると、攻撃者はこのインプラントコードを使用して、Dropcamが接続されているネットワークをスキャンし、攻撃の新たな弱点を発見する可能性もあります。また、このコードは位置情報も送信するため、カメラの位置を地図上に表示することも可能です。
シナック Synack の研究者らは、誰かがデバイスを制御できれば Dropcam が危険にさらされる可能性があることを発見した。
ムーア氏は、ドロップカムのこのような改ざんは、消費者にも企業にも知られないだろうと述べた。組み込み機器は(少なくとも現時点では)セキュリティソフトウェアを実行しておらず、内部で何が起こっているかはしばしば不透明だ。
「良い解決策があるかどうかは分からないが、セキュリティ業界が検討する必要があることだ」とムーア氏は語った。
改ざん対策の一つとして、Dropcamにアップロードする新しいコードに、コードサイニングと呼ばれる承認済みのデジタル署名を義務付けることが考えられるとウォードル氏は述べた。AppleはiPhoneでこのモデルを採用しており、同社が承認していないアプリケーションの実行をデバイス上で防止している。そうすれば、ハッカーがDropcamにマルウェアを仕込む前に、少なくとも「脱獄」攻撃を実行してこの制限を解除する必要がある。
Dropcamにはボタンがあり、適切なプロトコルを使用すれば、これを押すと署名のないファームウェアをアップロードできるとウォードル氏は述べた。このボタンは、ハードウェアが工場から出荷された後にソフトウェアをプロビジョニングする際に便利なように配置されているのだろうとウォードル氏は述べた。
研究者たちは、Dropcam が発見した他の脆弱性が修正されるのを待っている。これらの脆弱性は、デバイス上の他のアプリケーションや、Dropcam をコンピューターに接続したときの設定の問題に関係している。
それでも、脆弱性があっても、「Dropcam は多くの点で正しいことをしたと思います」とムーア氏は語った。
例えば、Dropcamは自社のサーバーとの接続をSSLで暗号化しています。また、Dropcamはアップデート配信時にデバイスのイメージを完全に再作成するとムーア氏は述べています。
ムーア氏とウォードル氏は、SSLに関してDropcamの弱点を突き止めた。DropcamはHeartbleedの脆弱性を修正するOpenSSLのパッチを適用していなかったが、Synackから通知を受けた後、同社は「非常に迅速に」パッチを適用したとウォードル氏は語った。
ムーア氏とウォードル氏のプレゼンテーションは、日曜日の午前 11 時にラスベガスで開催される Defcon で予定されています。
