韓国Samsung Electronicsが展開する「スマート冷蔵庫」に中間者攻撃の脆弱性があり、隣人にGoogleサービスへのログイン情報を盗まれる可能性もあるという研究結果をセキュリティ研究者が報告している。

英Pen Test PartnersはIoTハッキングに関する研究の一環として、8月に開かれたハッキングカンファレンスのDefCon 23で、Samsungのスマート冷蔵庫「RF28HMELBSR」破りに挑戦した。この冷蔵庫はSamsungが展開するスマートホーム家電のシリーズ製品として2014年夏に発売され、「Smart Home」のアプリ経由で操作できる。

研究チームによると、同冷蔵庫はSSL接続を使って通信を行っているものの、SSL証明書のチェックに不備があり、ほとんどの接続に対して通信に割り込む中間者攻撃（MITM）を仕掛けられることが分かったという。

同冷蔵庫には、前面に搭載した液晶パネルにGmailカレンダーの情報を表示できる機能が付いているが、この情報をダウンロードするためのGoogleサーバへの接続にも、MITMの脆弱性があることが判明した。この問題を悪用され、例えば隣の家や自宅前の道路から被害者の冷蔵庫にアクセスされれば、Googleサービスへのログイン情報が盗まれる恐れもあるとしている。

Gmailカレンダーの情報にアクセスした様子（Pen Test Partnersより）

研究チームは他にも同冷蔵庫のファームウェア攻撃やモバイルアプリの解析によるパスワード抽出などを試みたが、今回は時間切れに終わった。「それでも間違いなくさらなる調査に値する興味深いバグを発見した。MITMだけでも十分、Gmailのログイン情報を露呈させることができる」と報告している。

Copyright © ITmedia, Inc. All Rights Reserved.