ベルにおけるネットワーク設定の漏洩

要約

2015年3月、FortiGuardのResponsible Disclosure(責任ある開示)プロセスの一環として、ネットワーク設定漏洩の脆弱性がRing社に開示されました。

この脆弱性はRing社初のインターネット接続型ドアベルDoorbot v1.0に存在していましたが、この件に関するその他の投稿を見る限り、この脆弱性は新しいバージョンのネットワークドアベルでも解消されていません。

この脆弱性には、CVE-2015-4400: DoorBot Network Configuration LeakというCVE識別番号が付与されています。
フォーティネットはこの脆弱性に対して、アドバイザリおよびIPSシグネチャ(DoorBot.Network.Configuration.Leak)を発行しました。
現時点では、報告された脆弱性に対してパッチが発行されたという情報はRing社から提供されていません。

ネットワークドアベルとは

Ring(旧称Doorbot)は、ネットワーク機能を搭載したインターネット接続型のドアベルです。家庭のWi-Fiに接続すると、ユーザーはスマートフォンからドアベル経由で訪問者とやり取りしたり、ドアベルが鳴る度にアラートをスマートフォンで受信したりできます。また、既存のドアベルの配線に接続すれば、スマートフォンを使用して来客に応対することも可能です。

筆者は2015年3月、訪問者が家庭のWi-Fiネットワークにもアクセスできてしまう脆弱性を発見しました。

PoC(概念実証)

この脆弱性のPoCを以下の動画で説明しています。

簡単に言えば、この脆弱性はGainSpan社のWi-Fiモジュールのセキュリティ設定が不十分であることが原因だと考えられます。この設定では、APIがDoorbotのネットワーク設定を平文で取り出すことができてしまいます。

平文の認証情報について補足しておくと、2015年3月に分析したDoorbotのAndroid版アプリは、ログインしたユーザーの認証情報を平文でスマートフォン上に保存していました。この問題は、当該アプリケーションのアップデートにおいて直ちに修正されました。

攻撃

Doorbotはこれまで、デバイス背面にあるリセットボタンには独自仕様のネジが使用されているため、セキュリティが確保されていると主張していました(独自仕様のネジはデバイスを盗難からも守っています)。

しかし、筆者の経験によれば、普通のスクリュードライバーでデバイスのネジを外し、リセットボタンを押すことができます。しかも皮肉なことに、新しいバージョンの方が以前よりもアクセスしやすくなっています。


(Ringの画像提供:PenTest Partners)

つまり、ユーザーはWi-Fi認証情報を暗号化して保護するしかありません。

この脆弱性を悪用する方法は、デバイスの使用中にリセットボタンにアクセスするだけではありません。転売されたり廃棄されたりしたDoorbotの場合、ボタンを押すだけで前の所有者のネットワーク情報や設定内容が漏洩する可能性があります。 (ちなみに、フォーティネット所有のDoorbotを手放す予定は今のところありません。)

GainSpan社のモジュールについて

GainSpan社のWi-Fiモジュールは通常IoT(モノのインターネット)デバイスを追加するために使用されます。これらのデバイスにはインターネット接続機能が搭載されています。

次の2つの動作モードがサポートされています。

  • Limited Access Point (AP): 名前から分かるように、このモードのIoTデバイスは限られた期間だけアクセスポイントとして機能します。Doorbot/Ringの場合、デバイスのセットアップ中にこのモードが使用されます。Limited APモードになっていると、ユーザーはDoorbotのアクセスポイントに接続できます。さらに、Doorbot/Ringモバイルアプリケーションを使用して、使用すべきWi-Fiネットワークの詳細情報を送信することができます。Doorbotのアクセスポイントには、命名規則に従ってDoorbotAp_XXXXXX(末尾の6文字はDoorbotのMACアドレスの末尾と一致)という名前が付けられます。
    デバイスをLimited APモードに切り替えるには、上記のリセットボタンを押します。
  • Infrastructure Client: このモードのIoTデバイスは、他のWi-Fi対応クライアントと同様に動作し、Wi-Fiネットワークに接続します。GainSpanモジュール、およびその搭載デバイスは、通常の使用ではこのモードで動作します。

設定のセキュリティが不十分なGainSpanモジュールが原因で、ユーザーのネットワーク設定が漏洩したのは今回が初めてのことではありません。過去にも、TwineおよびWi-Fi Smart Scaleでも確認されており、IoTデバイス搭載のこうした使いやすいテクノロジをセキュアに設定・実装することの重要性が注目されています。

今回の脆弱性が原因でBackDoorbotが現実のものとなりましたが、実際にはWi-Fiネットワークの範囲内から攻撃しなければならないことを考えれば、Doorbotnetは理論的仮説にとどまっていると言えます。