スマートウォッチに偽の「薬を服用」アラートを送れる脆弱性が発覚

セキュリティ研究チームによると、高齢者や認知症患者が多く利用しているスマートウォッチに攻撃者が簡単にデバイスの制御を奪える脆弱性があった。

こうしたスマートウォッチは、利用者が医療関係者に簡単に電話をかけたり、医療関係者が利用者の居場所を追跡したりするためのものだ。携帯電話回線を利用できるため、どこにいても動作する。

しかし英国のセキュリティ企業であるPen Test Partnersの研究チームが、スマートウォッチをだまして偽の「薬を服用」リマインダーを利用者に何回でも送信できることを発見したと述べた。

Vangelis Stykas（ヴァンゲリス・スティカス）氏はブログの投稿で「認知症患者は薬を飲んだことを覚えていない傾向があり、簡単に過剰摂取になりかねない」と記した。

脆弱性のあるスマートウォッチに研究者が「薬を服用」アラートを表示させた（画像提供：Pen Test Partners）

この脆弱性は、スマートウォッチで利用されるSETrackerとして知られるバックエンドのクラウドシステムで発見された。このクラウドシステムは、ほかにもヨーロッパ中で多数のホワイトラベルのスマートウォッチや車両追跡デバイスで利用されていて、研究チームによればそのすべてに初歩的な攻撃に対する脆弱性があったという。

研究チームはバックエンドのクラウドシステムを利用するソースコードのコピーを発見し、コード中のセキュリティの問題を見つけた。発見された大きな欠陥のひとつはサーバーがハードコードされたキーを使っていたことで、この場合、攻撃者はデバイスをリモートで制御するあらゆるコマンドを送信できる。

このキーを使うと、攻撃者は「薬を服用」アラートを起動したり、デバイスからひそかに電話をかけたり、テキストメッセージを送信したり、車両追跡デバイスの場合はエンジンを完全に切ったりすることができる。

このコードには、デバイスからアップデートされたデータが保管されていると考えられるSETrackerのクラウドストレージのパスワードとトークンも含まれていた。しかし英国のコンピュータハッキング法違反になるため、研究チームはこれを確かめることはできなかった。

研究チームは、脆弱性は今は修正されていると述べた。この欠陥が悪用されたかどうかは不明だ。わずか数カ月前にPen Test Partnersは広く利用されているホワイトラベルの子供の見守り用スマートウォッチで同様の脆弱性を発見しており、今回の最新の研究はそれに続くものとなった。

スマートデバイスメーカー、それも適切なサイバーセキュリティの実装を考慮せずにデバイスを作ってしまうメーカーの間では、セキュリティ、そしてセキュリティの欠如が問題になりつつある。このため英国政府は、スマートデバイスに一意のパスワードなど最低限のセキュリティを備えた上で販売することを義務づけてセキュリティを強化する（未訳記事）、新たな法律の制定を提議している。