Amazonで売れ筋の「拳銃保管ケース」が遠隔操作で誰でも簡単に開けられると判明
https://gigazine.net/news/20171211-bluesteal-vaultek-unlock/
https://i.gzn.jp/img/2017/12/11/bluesteal-vaultek-unlock/00_m.jpg
銃社会のアメリカでは、子どもが不用意に銃に触れないようにと銃を保管するケースが販売されています。Amazon.comで売れ筋商品として高い人気の銃保管ケースが、なんとPINコード入力なしで遠隔操作で簡単にロック解除できることが判明しています。
遠隔でロック解除できてしまう脆弱性が判明したのは「BlueSteal Vaultek VT10i」という銃保管ケース。230ドル(約2万6000円)と比較的安価にもかかわらず、PINコード認証、指紋認証、Bluetoothアプリ対応と高性能な銃保管ケースとして人気があり、Amazon.comでは5段階の平均「4.5」と高い評価を集めています。
しかし、セキュリティ対策企業のTwo Six Labsは公式ブログで、VT10iがPINコード入力をすることなく遠隔操作でロック解除されてしまう脆弱性を持つことを発表しています。
Two Six Labsの技術者によると、この脆弱性はVT10iの持つBluetooth機能のセキュリティ対策不足を突いたものだとのこと。「スクリプトさえ書ければ誰でもほんの数秒でVT10iのロックを解除することができる」と述べています。
なお、ArsTechnicaは、「VT10iのロックを解除するスクリプトを書くのに重要な情報の大半がTwo Six Labsの公式ブログ内にあり、プログラマであれば足りない情報を自ら補うことでほんの1時間もあればロック解除スクリプトを作成できそうだ」と述べています。
ちなみに、遠隔操作でロック解除できてしまう原因の一つはBluetooth機能に暗号化がされていないこと。これに加えて、Bluetoothのペアリング作業を誰でも無制限に試みることができる点がVT10iはセキュリティ上の脆弱性だと指摘されています。
さらに、VT10iは最大8桁のPINコードを指定できますが、数字は1から5までしか使えないためPINコードは最大でも5の8乗の約39万通りに限られ、実際に使われることの多いコードは8桁未満が多いことを考えれば、ロック解除される危険性は高いそうです。
