INAXのスマホ対応便器で脆弱性が発見される 72
ストーリー by hylom
セキュリティホールでホールに攻撃 部門より
セキュリティホールでホールに攻撃 部門より
あるAnonymous Coward 曰く、
INAXのスマホ対応便器に対し、米情報セキュリティ企業Trustwaveがセキュリティに関する注意勧告を発表したそうだ(本家/.、セキュリティアドバイザリ)。
問題とされているのは、スマートフォンリモコンなる機能が搭載されているINAXの便器「SATIS」シリーズ。スマートフォンから専用アプリケーション「My SATIS」を使い、Bluetooth経由でシャワートイレの設定を変更したり、トイレを操作したり、スマートフォンに保存している音楽を再生できるというものだ。
問題となっているのは、この「スマートトイレ」ではBluetoothのPINが「0000」にハードコードされている点。そのため、攻撃者はMy SATISアプリケーションを利用して任意のトイレを思うままに制御できるという。例えば連続して水洗させて水道使用量を増加させたり、おしり洗浄やビデ洗浄、温風乾燥といった機能を操作したり、蓋の開け閉めを行ったりということができるということで、悪用して使用者に不快感や苦痛を与えることもできるという。
なお、TrustwaveはINAXブランドを販売しているLIXILに問い合わせを行ったが、現在のところ回答やコメントなどは得られていないとのことだ。
とばっちりで (スコア:2)
マンションの上の階の人が何かの水を流しっぱなしにしたせいで、部屋を水浸しにされたことがあります。その時は服と布団が濡れた程度で済んだけど、運が悪ければ電気系統をやられてたかも。
もしこの製品のシャワートイレの水が便器の外に届くなら、同じように階下の住人を攻撃できるんじゃないかな。
# 上の階も、根板の痛みが激しくなったちしてるはず
あと、もし他にも不具合とかセキュリティホールがあると、他の攻撃もできるかもしれません。温風乾燥をつけっぱなしにして発火とか、電源に水がかかるようなシャワー設定にしてショートさせるとか。
Re:とばっちりで (スコア:1)
家にINAXのシャワートイレつけてるんで取説見たら、確かに着座センサーのことが書いてありました。
それと便座カバーをつけるとセンサーが入りっぱなしになることもあるって説明も一緒に書いてあって、まあ場合によってですが、水を出しっぱなしする攻撃はできるかもしれません。 (カバーつけたら水が外に飛ばないから階下への攻撃は成立しないか・・・)。
# それと便座カバーをつけると攻撃手段が増えるということは、標的は春原?
昔から (スコア:1)
赤外線リモコン式の便器でも、似たような事起こってたよね。
リモコンでウォシュレットをオンにしたら、隣の便器の方が動き出したとか
マジで問題になるんじゃ… (スコア:1)
マンションって隣の家のトイレと自宅のトイレが壁はさんで隣同士っていう設計は多いと思うし、高級マンションなら両方共同じSATISってことも十分ありえる…
#PINとは別にペアリングしてるのかな?
Re: (スコア:0)
隣の人がペアリングをしようとするまでひたすらトイレの中で待ってまでやることだろうか。
ペアリングやるかどうかも分からないし、既にペアリング済みかもしれない。
そもそも高級マンションなのに、隣の部屋のBluetoothの電波が届くくらい壁が薄い物件なんて嫌だ。
ラブやん (スコア:0)
直接は関係がないこっちが思い浮かぶのはスマホ-オナホの連想ゆえか
Re:ラブやん (スコア:1)
私は「アルプス伝説」のウォシュレットの回を思い出しました。
Re: (スコア:0)
便器と結婚しようと思ったんですね
Re: (スコア:0)
いや、そっちを自由に操作される方が深刻だと思う。
Re: (スコア:0)
スマホで広がるホモだちの輪
イタズラだよね… (スコア:0, フレームのもと)
ぶっちゃけ、これって、イタズラのレベルだよね。
防止しなければいけない、というよりも、防止するのもアホらしい、というレベル。
出来てしまうことが問題って言うよりは、出来るからってやるヤツがいるとはとても思えない(思いたくない)的な。
こういうことを防止できるようにしなければいけない、ということは、こういう低レベルなことをする低レベルな人間がいるってことなんだよなぁ…。
いや、もちろん、穴(脆弱性)はふさぐべきだし、意図しない動作ができてしまうってのは問題だと思うよ。思うけどね…。
こういう一部のバカを守る(※)ために、有用な機能まで殺すことがないようにして欲しいものです。
※ バカにバカなことをさせないってこと。
バカなことをしちゃえば、そいつがバカであることもバレるし、誰かに迷惑をかけてしまってそのバカが罰せられることになるかもしれない。
そうならないように、バカにバカなことをさせないで先回りして「守ってあげる」ってこと。
Re:イタズラだよね… (スコア:3, おもしろおかしい)
それ、水浸しになったトイレ掃除当番の前で言ってあげてください。
#どうしてこんな事になってしまったんだ……!
Re: (スコア:0)
この脆弱性は、要するに誰でも簡単にペアリングができることにあると思います。
どういうことができるかは知りませんが、おそらく使うプロファイルはHIDかHDPとA2DPだと思います。
その範囲で出来る事でしょう。
最近の洗浄便座は、人が座っていない時には作動しないようにされているので、無人のトイレが水を吐き出し続けるのはできないと思います。
流したり蓋を開け閉めするのはできると思いますが。
悪戯としては、誰かが入ってる時に「ギャーッ」悲鳴をあげさせたり、まだ最中の時に勝手に最大水圧で洗浄を開始したり、真冬に最低温度に設定したり、という感じでしょうか。
また、公共施設にこのトイレが使われるとはあまり考えられないので、自宅のトイレでしょう。
となると、お兄ちゃんが弟が入ってる時に電気を消す的な、そういう悪戯にしか使われないんじゃないかな。
Re:イタズラだよね… (スコア:1)
排便の真っ最中に操作されて便器内や便座裏が大惨事…とか :)
# まぁその場合、お兄ちゃんがトイレ掃除をさせられるだろう
Re:イタズラだよね… (スコア:1)
>排便の真っ最中に操作されて便器内や便座裏が大惨事…とか :)
ビチビチ飛び散るのかな。
たぶん水勢を最強にしても参事にはなりそうだけど、大惨事にまではいかない気がする。
最近のシャワートイレってそんなに激しいのはないよね。
それよりも夜中に勝手に音楽か音声を流されるとびびって立ち上がるか転げ落ちて、ついでにまき散らしてそれこそ大惨事になりそうな予感。
蓋をバタバタされると更に恐怖度UP.
ルシウスならどこぞに奴隷が隠れているのかと探しそうだ。
#どこかの国のテレビのどっきり企画で既にそういうのやってそう。
Re:イタズラだよね… (スコア:1)
コンピュータのハッカーも初めは「子供のいたずら」レベルから始まったんですが。
Re: (スコア:0)
いまだに子供のいたずらレベルから脱していませんね
Re:イタズラだよね… (スコア:1)
遠隔操作事件は壮大なイタズラ?
Re:イタズラだよね… (スコア:1)
お尻洗浄水を高温にする事もできるのだろうか
セキュリティの穴を突いて、トイレ使用者の穴を攻撃
Re:イタズラだよね… (スコア:4, おもしろおかしい)
バックドアを狙われたらひとたまりもありませんね。
Re:イタズラだよね… (スコア:1)
この手の製品は、タンクレスの最新機種なら、氷点下の夜でも短時間で温水が出せるほど強力な熱源を備えてもいます。
安全装置を無効にすれば発火させることもできそうです。
遊び半分と笑い飛ばせるイタズラだけで終わればいいですが。
Re:イタズラだよね… (スコア:1)
> 安全装置を無効にすれば発火させることもできそうです。
で、このリモコンアプリでそれは可能なんですか?
# まあ、こんな機能(リモコンアプリ)いるのかとは思うけどさ。
Re:イタズラだよね… (スコア:1)
>で、このリモコンアプリでそれは可能なんですか?
セキュリティホールは一個見つかれば50個はあるそうだから、そのうちできるかも
#ホンマ?
Re: (スコア:0)
何も書かれてないファックスを送られてくる嫌がらせと何か違いでもあんの
Re: (スコア:0)
嫌がらせじゃなくて表裏間違えたんです
Re:イタズラだよね… (スコア:1)
>嫌がらせじゃなくて表裏間違えたんです
それって、(昔は)春の風物詩だった気がする。
新入社員の何人かが通る道。
Re: (スコア:0)
ファックスというかファックされる。貞操がやばい。
あの日、安易に”強”になどするんじゃなかった・・・・
もう純だった頃には戻れない。
Re: (スコア:0)
INAX派とTOTO派の宗教戦争が勃発しそうだな・・・
ノズル角度が違うんだっけ?
たぶん、TOTOの方がセキュリティーホールを突破されにくいと思われ!
Re: (スコア:0)
2台のリモコンのID入れ換えておくとか今までもあったみたいだし
やろうと思えばなんでもできそうやね
Re: (スコア:0)
たとえばだ、ある程度の規模の施設の全てのトイレを事実上使用不可能(水洗機能を無効にするとか)にできる場合、
これは結構な業務妨害になるわけで。
一概にイタズラでしかないとすませるわけにはいかない。
Re: (スコア:0)
つ「トイレットペーパー」
Re: (スコア:0)
でもこの便器は家庭用であって公衆用じゃないよね?
便座温度とか水温が容易にはいじられないようにしてある、店とか駅とか公共空間のトイレに設置するための製品が別にあるはずだが。
Re:イタズラだよね… (スコア:5, 参考になる)
SATISブランドはINAXの中でも高級品のブランドです。
駅のトイレにはないと思いますが、高級デパートや音楽ホールみたいなハイソ(?)な所には設置されていると思います。
おもに公園の公衆トイレを設計する機会がときどきありますが、いまだ設計に織り込んだ事はありません。
タンクレスタイプは掃除がやりやすいのではないかと思っているので、ある種公衆用には向いているとは思うのですが・・・いかんせん価格が・・・
何か特別な問題があるのかな? (スコア:0)
ペアリング終わっていれば問題ないし、再設定するには物理的にアクセスできてることを意味するわけで
Bluetooth関係なくいたずらし放題
PIN固定はワイアレスデバイスでよくある話に思えるけど、何か特別な話があるのかな?
機能を完全に殺して再設定できないようにしとけって主張かな?
Re:何か特別な問題があるのかな? (スコア:3, すばらしい洞察)
朝トイレから出て来ないお父さんにウォシュレット攻撃する事案が発生
Re:何か特別な問題があるのかな? (スコア:2)
> PIN固定はワイアレスデバイスでよくある話に思えるけど、何か特別な話があるのかな?
マウスやヘッドセットで金額的・精神的にまとまった被害を及ばすことは無理だけど、トイレの場合、無人になる夜間だけ水を流し続けるとか、もう少し被害が大きくなる。
制御するためには、型落ちのノートPCを隣の部屋の机の裏とか、掃除道具入れ、屋根裏などに隠せば良いし。
偶然が重ならなければ、そんなことできないとは思うが、世の中は広いから、量産メーカーは万が一の事態に配慮する必要があるだろう。(このINAXの事例では、製品を回収するほどとは思わないが)
Re:何か特別な問題があるのかな? (スコア:1)
再ペアリングができる=トイレを自由に操作できる状態
なわけで、
そんな状況ならPINが固定だろうがなんだろうがどうしようもないということじゃないの。
そもそもBluetoothのPINは機体識別のためのものであって、セキュリティのための機能ではないと思うんだけど、
TrustwaveはPINをあたかも暗証番号のように運用すべきと考えているのだろうか?
…あまり一般的な見解ではないと思うな。
Re:何か特別な問題があるのかな? (スコア:1)
まあ「指紋認証はIDとして使うべきであって、passwordの代わりにすんな」みたいな話かと。
PIN=暗証番号として扱う機器/人が居るのは分かった上で。
Re: (スコア:0)
同意、この理屈なら
”PIN固定されているヘッドセットを再ペアリングされて
大音量で雑音を流される可能性がある”
って言っているのと大してかわらん。
##要は以前問題になったような家電をネットワーク越しに制御できるのが問題って主張に近いんじゃないか?
以前の職場で (スコア:0)
以前の職場でトイレの個室が二つあって、二つのウォシュレットが連動していたって事件があったのを思い出した。
片方で操作すると両方の個室のウォシュレットが同じように動き出して、両方に人が入っていると大変なことになるという。
そんだけ。
Re: (スコア:0)
そんなことよりも俺が小便の前に立ってちんこ出す前にセンサーが反応して水が流れるのはどうなってんの?
誰か監視してんの?
Re: (スコア:0)
自分で「センサーが反応して」って言ってんじゃん。
Re: (スコア:0)
リモコンが赤外線になっていて、それが天井などを反射して隣に届くんじゃないでしょうか。
Re:以前の職場で (スコア:2)
TOTOの操作パネルは無線だったかな。電源は乾電池。だから操作パネルをはめるフレームを壁面などに木ねじで取り付けるだけでよく、操作パネルのために大がかりの工事が必要がない。
調べてないけど、誤動作を避けるためのチャネル設定くらいはあるんじゃないかな?
Re: (スコア:0)
無線ですけど、あれ、本体にも便座にもスイッチがないモデルだと電池が切れたら操作のしようがなくて困るんですよね。
。
自動水洗をOFFにしていたら、流すこともできないという・・・・・
これからの時代の問題… (スコア:0)
これからスマホと連携する機器も増えだろうことを考えれば重要な課題として受け止めなければならないのだが
この記事を読んでいる最中はどうしても笑いがこみあげてくる
Re: (スコア:0)
道路を走る機能を持った便器をリモート・コントロールされたらと思うと怖くて使用出来ませんね。
リモコンなんて要らない (スコア:0)
私のお尻はとってもデリケートな状態なのに、用を足してホっとすると右手がボタンを押しちゃうんですねね。
「あっ!」と気付いたときには時既に遅し。
激烈な噴流が私のお尻を突き刺し、雷撃のごとき激痛が私を襲います。
テロですよ、これは。
Re:リモコンなんて要らない (スコア:1)
えっと、今回話題の製品ですが、家族でそれぞれの設定ができるみたい。
想像するに、貴方が設定した水圧と家族の他の人が設定した水圧は違う設定で発動するんじゃないかな。
だから、むしろあなたには必要な機能であると。
Re:トイレの必需品 (スコア:1)
標準で付属の備え付け専用リモコンでできることを、わざわざスマートフォンでやりたいのだろうか、と思った。