Nexxのスマートガレージドアオープナーのコントローラーに関する一連の脆弱性(世界中のどこからでもリモートでハッキングされる可能性がある)が、セキュリティ研究者のSam Sabetan氏によって発見されました。脆弱性をNexxに何度も報告しようとしたにも関わらず、同社は何ヶ月も応答せず、現在も問題は修正されていません。これらの重大なセキュリティ上の欠陥は、ハッカーがNexxのドアを無作為に開けることが出来ることを意味しており、ガレージの中身や家が泥棒に明け渡されてしまう可能性があります。この脆弱性は、Nexxのセキュリティシステムを使用する特定のガレージに対する標準的な攻撃の一部として使用される可能性もあります。
Nexxは、既存のガレージドアオープナーに接続可能なWiFi対応のガレージドアコントローラーを提供しており、スマートフォンアプリを介してリモートで便利に作動させることが出来ます。同社は、Kickstarterでキャンペーンを実施し、顧客が既に所有しているアイテムと連動する使いやすい製品に重点を置いていました。Sabtan氏は、Nexxアプリで自分のガレージのドアを開け、このアクション中にデバイスがNexxのサーバーに送信したデータをキャプチャすることで、ハッキングを実演しています。
その後、同氏がソフトウェア(アプリではなく)を介してガレージにコマンドを再生すると、ドアが再び空きました。彼はこれを自分のガレージドアで試しただけでしたが、デモンストレーションで、同じ手法で他のユーザーのガレージドアをリモートで開けることが出来ることを示しています。Nexxは、顧客に深刻な結果をもたらす可能性があるこの脆弱性を修正することを拒否しました。国土安全保障省のサイバーセキュリティ及びインフラストラクチャセキュリティエージェンシー(CISA)は、このセキュリティ問題に関する勧告を既に公開しています。
Sabetan氏は問題についてNexxに連絡しようと試みましたが、役に立ちませんでした。同社は脆弱性の報告を無視し、問題を警告する試みにも対応していません。また、彼がNexx製品についてサポートが必要な顧客を装ってNexxのサポートチームに連絡したところ、チームはすぐに対応したそうです。
この記事は、編集部が日本向けに翻訳・編集したものです。
原文はこちら