スマホから遠隔操作できる電源スイッチなど「Belkin Wemo」シリーズに脆弱性

　米IOActiveは18日、スマートフォンからWiFi経由で遠隔操作できる電源スイッチなど、米Belkinの「WeMo Home Automation」シリーズ製品に複数の脆弱性が存在すると発表した。

WeMo Home Automationのサイト

　IOActiveでは、脆弱性が悪用された場合、WeMoに接続されたデバイスを外部から制御されたり、悪質なファームウェアアップデートの実行、モーションセンサーによる家の中の様子の監視などが行われる可能性があると指摘。攻撃者が外部から電源を制御できるようになることで、電力を浪費させられる可能性から、火災につながる危険性まであると指摘している。

　脆弱性は、WeMoのファームウェアアップデートでは公開鍵暗号を利用しているが、暗号鍵とパスワードは既にインストールされているファームウェア内に含まれているため、攻撃者はこれを利用することで悪意のあるファームウェアを作成して、セキュリティチェックを回避できるというもの。また、WeMoデバイスはSSL証明書の検証も行わないため、攻撃者がBelkinの偽のクラウドサービスになりすまし、ファームウェアアップデートを行わせることなどが可能だという。

　IOActiveでは、CERTと協力してこの問題についてBelkinにコンタクトを試みたが、反応がなかったためアドバイザリーを公表したと説明。ユーザーに対しては、WeMo製品に接続しているデバイスの電源を抜くことを推奨している。