image_50

アメリカでは所持する拳銃を保護するため専用のケースというものが販売されているそうなのですが、米アマゾンでよく売れている商品についてパッカーンと開けてしまう方法があると話題になっているそうです。

遠隔でロック解除できてしまう脆弱性が判明したのは「BlueSteal Vaultek VT10i」という銃保管ケース。230ドル(約2万6000円)と比較的安価にもかかわらず、PINコード認証、指紋認証、Bluetoothアプリ対応と高性能な銃保管ケースとして人気があり、Amazon.comでは5段階の平均「4.5」と高い評価を集めています。

GIGAZINE
今回問題が指摘されたのはBlueSteal Vaultek VT10iという商品です。認証はPINコード(暗証番号)の他にも指紋認証やBluetoothアプリで遠隔解除にも対応しているというものになっているのですが、プログラマーであれば誰でもロックを解除できてしまうという致命的とも言える脆弱性が見つかったとしています。


こちらが実際にプログラムを実行しロック解除を行っている様子です。記事によると、プログラムに必要な情報の大半が今回問題が指摘したTwo Six Labs内にあり、他の足らない情報は1時間あまりあれば簡単に解除用のスプリクトを作ることができるとしています。

具体的に何が原因で解除されてしまうのか。記事によるとBluetoothに暗号化がされていない点、スマホなどの端末とのペアリンクが無制限でできてしまう点、またPINコード(暗証番号)の入力可能な桁数が8桁でさらに入力可能な文字が5つしかなく最大でも39万通りを試せば解除が可能という雑な仕様になっていることも理由に上げています。

ただ、実際に家庭に置かれたVT10iをこの手のプログラムを走らせ解除するという行為は考えられないのですが、商品を企業などで使用されていることも考えられるためTwo Six Labsでは直ちにBluetooth機能をオフにして使用するよう呼びかけを行っているとしています。