イスラエル本拠のチェック・ポイント・ソフトウェア・テクノロジーズは、LGのスマート家電制御アプリ「SmartThinQ」にハッキングの危険性があることを指摘した。アプリの脆弱性につけ込むことで同社のロボット掃除機「ホームボット」を乗っ取り、内蔵ビデオカメラで付近を覗き見できるだけでなく、冷蔵庫やオーブン、食洗機、乾燥機、エアコンなど、LGの同じアプリで制御されるすべてのデバイスが操作できてしまったという。
7月31日に報じられたこの脆弱性について、LGは9月末のアップデートで対策を施した。ユーザーはGoogle Playかアップルのアップストア、LGのSmartThinQの設定から、アプリを最新版にアップグレードすることで対策を行える。
今回の一件は、モバイルアプリの脆弱性を入り口に、家庭内のプライバシーが流出する可能性を示す実例となった。チェック・ポイントが公開した動画には、100万台以上売れたとされる「ホームボット」シリーズの1台が、ハッカーの操作により動画を送る様子が映しだされている。
今回の脆弱性は、SmartThinQアプリがログインを処理する仕組みの中に存在した。それにより、ターゲットのメールアドレスを突き止める腕さえあれば、ハッキングができてしまったのだ。
SmartThinQのログインは3つのステップからなる。まず、ユーザーが入力したログイン情報が、バックエンドサーバーで検証される。次に、設定されたユーザーネーム(メールアドレス)に対しての署名が生成される。最後に、署名とユーザーネームからの情報を統合してアクセストークンが作られる。そのトークンを用いアカウントへのアクセスが可能になる。
ところが、最初のステップと残り2つに依存関係がないことから、ハッカーは別のユーザーネームで第1ステップをクリアし、そこでトラフィックを傍受できたなら、攻撃目標のユーザーネームに切り替えて第2、第3ステップを通過することができてしまったという。
フォーブスは、これに類する家庭内ハッキングの危険性を、これまでも指摘してきた。近未来的なスマートホームデバイスには、簡単にハッカーの餌食にされてしまう危険性が潜んでいる。
