Cover Image

スマートロックのロック解除: Aleph Research が明らかにした隠れた IoT セキュリティ リスク
2024/7/26 - 読み終える時間: ~1 分

Smart Locks Unlocked: The Hidden IoT Security Risks Exposed by Aleph Research の翻訳版です。

スマートロックのロック解除: Aleph Research が明らかにした隠れた IoT セキュリティ リスク

2024年7月15日

著者: Lev Aronsky / Security Researcher

独立した脆弱性調査は、サイバーセキュリティにおいて重要な役割を果たします。企業が事前のセキュリティ テストを行わずに製品をリリースしたり、リリース前に実施されたセキュリティ テストですべての脆弱性が特定されなかったりすることがあります。どちらのシナリオでも、結果として悪意のある攻撃者が悪用できる脆弱な製品が生まれます。独立した調査では、このような脆弱性を特定し、ベンダーに公開して修正してもらうことで、これらの製品のセキュリティを強化します。

HCLSoftware の Aleph Research は脆弱性調査に優れており、高度な調査手法を必要とする製品を中心に、さまざまな製品を独自に分析しています。同社のセキュリティ研究者は専門知識を活用して、標準的な侵入テストでは見逃されがちな脆弱性を発見します。この種の調査は、一般市民の安全を守るのに役立つだけでなく、HCLSoftware に、HCL AppScan スイートのアプリケーション セキュリティ テスト ツールに組み込むことができる貴重な洞察を提供します。

IoT セキュリティは Aleph Research の専門分野です。最新のプロジェクトでは、現代のスマート ホームでますます一般的になっているデバイスであるスマート ロックを選択しました。研究者たちは、攻撃者に自宅へのオンラインおよび物理的なアクセスの両方を提供する可能性がある潜在的な脆弱性の影響に興味をそそられました。Aleph Research は、中国企業 Sciener が開発し、世界中でさまざまなブランドで販売されている高度なスマートロックを選択しました。調査は、スマートフォン アプリ (TTLock)、アプリとロック間の BLE 通信、コンパニオン ゲートウェイ、ロックの物理的セキュリティなど、ターゲットの潜在的な攻撃を特定することから始まりました。

アプリの逆コンパイル、高度なハードウェア デバッグ、ロックとゲートウェイのファームウェアのリバース エンジニアリングを含む広範な分析を通じて、研究者は特定されたすべてのサーフェスで複数の深刻な脆弱性を発見しました。このリスクは、中間者攻撃とプロトコル ダウングレード攻撃の組み合わせから、不適切な暗号化処理や最上位権限による不正なコード実行まで、幅広い CWE 問題タイプをカバーしていました。

IoT デバイスのこれらの脆弱性は、潜在的な脅威にさらされていることに気付かずに利便性のためにこれらのデバイスを選択している一般の人々にとって重大なリスクをもたらします。これにより、窃盗犯は近くのスマートフォンでデバイスのロックを解除できるようになり、簡単にピッキングできるロックを探すよりもスマートホームをターゲットにしやすくなります。

Aleph Research は、すべての脆弱性を記録した後、イスラエルのサイバー局とベンダーに対する脆弱性リスクを調整する CERT 組織にそれらを公開しました。脆弱性を公表する業界標準は通常、公開後 90 日ですが、これらの問題の重大性のため、Aleph Research は 2 倍以上の期間を待ちました。残念ながら、Aleph Research の努力にもかかわらず、ベンダーは応答しませんでした

最終的に、ベンダーは CERT と連携して脆弱性を公開しました (CVE-2023-7006、CVE-2023-7005、CVE-2023-7003、CVE-2023-6960、CVE-2023-7004、CVE-2023-7007、CVE-2023-7009、および CVE-2023-7017)。この公開により、ベンダーは問題の修正に緊急に取り組み始め、公開によってベンダーの協力を効果的に促進できることが証明されました。

特定された脆弱性の中には、複雑なロジックと経験豊富な侵入テスト担当者による発見が必要なものもありますが、HCL AppScan Source などの SAST ツールを使用して開発中に検出できるものもあります。その結果、Aleph Research ツールは、今後同様の問題を検出できるようにルールの更新と強化を受けることになります。

HCLSoftware の Aleph Research は、脆弱性研究の限界を押し広げ続け、最も先進的な製品であっても厳格なセキュリティ分析が行われるようにしています。スマート ロックに関する最近の取り組みは、IoT デバイスを保護するために徹底的なテストと予防的対策が極めて重要であることを浮き彫りにしています。

この研究プロジェクトおよび同様のプロジェクトの詳細については、Aleph Research ブログをご覧ください。

HCLSoftware のアプリケーション セキュリティ テスト プラットフォームとツール スイートがセキュリティ プラクティスをどのように強化できるかについて詳しくご覧ください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修