Xiaomi FurryTailに生命に係る深刻な脆弱性。ペットへの餌供給を第三者が遠隔から操作可能
ロシアのセキュリティ研究者Anna Prosvetovaは、TelegramにてXiaomi FurryTailスマートペットフィーダーのAPIおよびファームウェアの脆弱性を発見したと自身のTelegramで述べた。
Xiaomi FurryTailスマートペットフィーダーは、モバイルアプリを使用して1日の特定の時間に餌を提供する、自動餌やり器。これが有ればペットを置いて外出しても、決められた時間になれば、自動的に餌を与えてくれるので、飼い主は安心して仕事や旅行に出かけることが可能になる。
■パスワード不要で、餌やりスケジュールを更新可能
Prosvetova氏は、自身でXiaomi FurryTailを購入し調査していたところ、APIを経由して、世界中のXiaomi FurryTailにパスワード不要でアクセス出来ることを発見した。数回クリツクするだけで、餌提供のスケジュールを削除し、ペットから餌を奪うことが可能だとコメントしている。このような状態にさらされているXiaomi FurryTailが世界中に10,950台存在するという。
■ESP8266を利用しているため、DDoS攻撃にも応用可能
Prosvetova氏はXiaomi FurryTailがWiFi接続用にESP8266も使用していることも発見した。ESP8266とは、CPUとWi-Fi接続機能を持った小型コンピュータ。安価で入手出来ることから、手軽なIoT入門用の機器と人気が有るが、CPUを実装しプログラムを実行することも可能なため、サイバー攻撃者に悪用されるリスクも存在する。
Prosvetova氏はXiaomi FurryTailが利用しているESP8266には脆弱性が存在しているため、遠隔からダミーのファームウェアをインストールし、強制的にアップグレードさせ、動作を停止することが可能と主張している。また、ペットフィーダーをIoT DDoSボットネットにハイジャックすることを検討しているサイバー攻撃者にとって、この脆弱性は理想的だろうと述べている。
■Xiaomiは脆弱性報酬プログラムを提供していない
Prosvetova氏は本脆弱性をXiaomiに報告したが、Xiaomiは脆弱性報酬プログラムを提供していないため、Prosvetova氏にバグ発見の報酬を提供することが出来ないという。そのため、Prosvetova氏はXiaomiが正当な報酬を支払うまでは、脆弱性の詳細は公開しないと述べている。
■ペットフィーダーの脆弱性は生命に係る重要な脆弱性
ペットフィーダーは、飼い主がペットを置いて外出したり、旅行にでかける時に、自動的に餌を供給する装置だ。ペットフィーダーが誤動作すれば、ペットは餌を食べることが出来なくなってしまう。Prosvetova氏が発見したペットフィーダーを操作可能にする脆弱性は、ペットの生命を奪うことも可能な深刻な脆弱性と言えるだろう。Xiaomiの早急な対応を期待したい。