中国拠点のサーバーと通信している痕跡も - GIGAZINE (12/09)
AIのまとめと筆者のメモ
製品の主な欠陥・問題点
- 隠しマイクの搭載
仕様書や製品説明には一切記載がないにもかかわらず、 デバイスの内部基板に物理的なマイクが実装されていました。 - 不透明な音声処理
デバイスのメイン制御チップがマイクからの音声信号を処理できる よう設計されており、 ユーザーが意図しない音声収集が行われるリスクがあります。 - 脆弱な通信プロトコル
デバイスが独自の通信プロトコルを使用しており、 暗号化が不十分なため、 ネットワーク経由で音声データが外部に送信されたり、 盗聴されたりする脆弱性が指摘されています。 - 不適切な隠蔽工作 マイクは一見すると別の電子部品(
コンデンサなど)に見えるよう配置されており、 意図的に隠されていた可能性が高いと分析されています。 - ハードコードされたパスワード
初期ロットにはデフォルトのパスワードが設定されており、 このパスワードでSSHへのアクセスが可能だった。この問題はS ipeedがすぐに対応しました。 - CSRF対策がなく、セッションを無効化する手段もない(
無かった) - 不透明なシステム更新デバイスが中国のDNSサーバーに依存して
おり、中国のSipeedサーバーと通信し、 更新プログラムだけでなくクローズドソースコンポーネントもダウ ンロードしている。 ソフトウェアアップデートの完全性検証が行われていない。(注、 これによって提供元や悪意の第三者が悪意のプログラムへ更新可能 、ということかな?) - 製品版のデバイスに存在すべきではないツールの存在
tcpdump, aircrack
セキュリティ上の懸念
この欠陥により、機密性の高い会議や個人の会話が、
備考(冒頭記事引用)
『研究者は「まとめると、
幸いなことに、
幸いなことに、
No comments:
Post a Comment