オーストリアのサイバーセキュリティ企業「SEC Consult」 は先日、Mi-Camの販売元の中国企業「miSafes」に脆弱性を警告したが改善がみられないとして、その内容を公表した。利用者はデバイスの使用を停止すべきだとSEC Consultは呼びかけている。
発見された脆弱性の1つは、Mi-Camのアンドロイド向けアプリでパスワード入力をバイパスできるものだ。スマホとデバイスの間の通信を傍受し、HTTPリクエストを変更できるプロキシサーバーを設定するだけで侵入が可能だ。
SEC ConsultのJohannes Greilによると、カメラ操作に利用できるAPIも複数発見できたという。「特定のユーザーのカメラの画像を見たりカメラを操作するための情報が得られる」という。しかも、ユーザーIDは簡単に推測できるものが多い。
またMi-Camとクラウドサーバーの間のトラフィックに介入し、動画データを取り出すことも可能だという。Mi-Camのユーザーが危険にさらされるので、これ以上の詳細は公開されていない。
SECはMi-Camのファームウェアを取り出し、デフォルトのルートパスワードも入手した。しかも、そのパスワードは「極めて脆弱なデフォルトの4桁のもの」だったという。
パスワードをリセットする場合は30分間有効な6桁の認証キーがメールで送られてくる仕組みになっており、これも危険性が高いという。30分もあれば6桁の認証キーを特定するのは難しいことではない。
SECは2017年12月からMi-Camの販売元との接触を試みているが、未だに連絡がなく、そもそも連絡先が不明確だ。Mi-Camを作ったのはmiSafesのようだが、「QiWo Smartlink Technology」も技術に対する権利を持っているようだとSECはいう。
フォーブスはQiWo Smartlink Technologyに連絡を試み、同社がMi-Camのアップデートを担当していることが分かった。同社はSECに連絡し、速やかにバグを修正したいと述べた。Mi-Camは販売中だが生産は終了しているという。
中国で脆弱性に関する情報を開示するための機関CNCERT/CCもSECの問い合わせに対して返答しておらず、同様の役割を持つアメリカの機関CERT/CCは協力を拒否したという。数多くの子供がのぞき見される危険にさらされたままとなっている。
