「Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていた」←組み込み機器はセキュリティを何も考えてないケースがあるからな
ハードコードされた固定SSIDとパスワードとかいうIoTの教科書に載りそうな様式美。繋がずに使ってる家電が狙われるの罠すぎるな
家電にWiFiって、一時期流行った。セキュリティのメンテナンスの手間を考えれば割に合わない。
『Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため』oh...
JTCのパソコン音痴ぶりが製品にも発揮されている。嘆かわしい。
“エアコン設定の不正変更”ククク 冬に冷房かけてやるのだ
SSIDやパスワードのハードコードは論外だが、どういう実装がシンプルかつ頑強なんだろ。MACアドレスからのソルト付きハッシュ値でパスワード生成とかかな。
室外機でメーカーわかるし
PanasonicのトイレにもWi-fi機能あるけどあっちはセキュリティ大丈夫なんだろうか
白ご飯を炊こうとしたら勝手に炊き込みご飯にされたりするのか……?
パスワードはさすがに1台1台違うよね。普通のWiFiルーターみたいに。それならまず、パスワードは破られないのでは//まさか、ないよね…
ばーかばーか
ソルト使ったら塩むすびになるからな……
工場出荷時の初期値にexample.com的なものが設定されていて、wifi設定だけ有効にしてアクセスポイントの設定を上書きしないと、その設定でアクセスしにいってしまう、って感じかしら。wifi設定群がアトミックになってない
IT技術者さんたちは本人や世間が思っているほどアタマ良くないから。
「開発用に無線接続で動作確認できる隠し機能を作りました!」「おお、これは便利だね!他の製品にも水平展開(三菱電機の好きな言葉w)したまえ!」「はい!!!」「隠し機能を隠し忘れました!」「ええええ?!」
機器はデフォルトWiFIオフでオンにすると自動で接続待機状態に。この時のSSIDとパスワードが固定。設定を終わらせずに放置した場合に自動でWIFIオフにならず誰でもつなげて初期設定できる状態になるという感じかな
まあ、画面に出てきた(ランダム)パスコードを入れてくれってのが王道でしょうけど、液晶がない機器ならデフォWifi無効でボタン長押しでWifi有効化とかかな?
"Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため、攻撃者が電波の届く範囲から不正にアクセスすれば、運転状態や室温データの窃取、エアコン設定の不正変更、Wi-Fi通信の停止(DoS)を"
工場出荷時のまま何もしてなくても影響あるとかひどいんですけど うちはそんな機能いらないから繋いでないのに
SSID固定だとまあ攻撃対象にならなくはないか
“攻撃者が電波の届く範囲から不正にアクセスすれば”
炊飯器オーバーフロー脆弱性とは噴飯もの
三菱家電が初期状態で“Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)”なのでリモート操作できると
「Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため」これ実装するときにヤバいなって思わないか。ネットワークつなぐ前提の仕組み作ってて、この実装は酷くないか(対象機種でイラついてる)
初期設定でアクセスさせるためのSSID/Keyがハードコーディングされている。一度初期設定して、家電側から接続していればアクセスできなくなる
ルーターの初期パスも工場出荷で戻るけどあれはどうやってユニークにしてるんだろ
ファームウェア脆弱性系の IoT あるあるかと思ったら、そんなレベルじゃなくて、あり得ない設計でワロタw
白米がお粥になってたら泣ける
主にアプリ向けの初期セットアップ用WiFi APが常に公開されてたって話に見えるけど、これ三菱の他にもあるんじゃね?仕組み的に固定SSID/PWになりがちだし。
エレクトロニクスなのかインダストリーズなのかタイトルでわかるようにしといて。
家電ひとつひとつにインターネットアクセスの必要はないと思う。総合リモコンでひとまとめすれば十分
うちはエアコンとエコキュートが該当するけどWi-Fi設定済み。HomeAssistantで制御してる。エアコンもエコキュートもブラウザから操作できて便利/省エネ住宅の補助金の要件にHEMSがあったりするのでWi-Fi機能が必要になる
ストーカーや侵入盗に悪用されなければいいが…
下手すりゃ10年くらい使う家電で通信機能はなぁ
食洗機がDDoSの踏み台にされた事件があったでしょ……
オンラインの説明書を読むとユニークなSSID/パスワードを振っていそう(本体のシールを参照して初期設定するみたい)なので、サービス用に隠しSSIDでも用意していたのかな?
WatchDogsの世界だ
「DoS攻撃だっ・・・!!て、敵がいるのかっ!この部屋の中にっ!」
ルータの初期パスワードみたいなものでしょう?これを脆弱性というのはちょっと可哀想な気がする。
初期状態だと固定のSSIDとパスワードでAPモードとして動作してたって事なのか。ユーザーの操作なしにAP動作なんてして欲しくないし、仕様考えたときにまずいと思わなかったのかなあ。
“影響を受けるのは、Wi-Fi機能を有効にしたまま、一度もWi-Fiルータに接続していないか、工場出荷時の状態に戻した後、再設定せずに放置している場合。”
最初から織り込み済み?マイナとかで不良市民を割り出してライフライン全停止とかしたいかんじ?
Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていた > 素人丸出しの仕事っぷりに驚愕。
三菱の家電にWi-Fi脆弱性、エアコンや冷蔵庫、炊飯器など広範囲 ユーザーに対応求める
「Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていた」←組み込み機器はセキュリティを何も考えてないケースがあるからな
ハードコードされた固定SSIDとパスワードとかいうIoTの教科書に載りそうな様式美。繋がずに使ってる家電が狙われるの罠すぎるな
家電にWiFiって、一時期流行った。セキュリティのメンテナンスの手間を考えれば割に合わない。
『Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため』oh...
JTCのパソコン音痴ぶりが製品にも発揮されている。嘆かわしい。
“エアコン設定の不正変更”ククク 冬に冷房かけてやるのだ
SSIDやパスワードのハードコードは論外だが、どういう実装がシンプルかつ頑強なんだろ。MACアドレスからのソルト付きハッシュ値でパスワード生成とかかな。
室外機でメーカーわかるし
PanasonicのトイレにもWi-fi機能あるけどあっちはセキュリティ大丈夫なんだろうか
白ご飯を炊こうとしたら勝手に炊き込みご飯にされたりするのか……?
パスワードはさすがに1台1台違うよね。普通のWiFiルーターみたいに。それならまず、パスワードは破られないのでは//まさか、ないよね…
ばーかばーか
ソルト使ったら塩むすびになるからな……
工場出荷時の初期値にexample.com的なものが設定されていて、wifi設定だけ有効にしてアクセスポイントの設定を上書きしないと、その設定でアクセスしにいってしまう、って感じかしら。wifi設定群がアトミックになってない
IT技術者さんたちは本人や世間が思っているほどアタマ良くないから。
「開発用に無線接続で動作確認できる隠し機能を作りました!」「おお、これは便利だね!他の製品にも水平展開(三菱電機の好きな言葉w)したまえ!」「はい!!!」「隠し機能を隠し忘れました!」「ええええ?!」
機器はデフォルトWiFIオフでオンにすると自動で接続待機状態に。この時のSSIDとパスワードが固定。設定を終わらせずに放置した場合に自動でWIFIオフにならず誰でもつなげて初期設定できる状態になるという感じかな
まあ、画面に出てきた(ランダム)パスコードを入れてくれってのが王道でしょうけど、液晶がない機器ならデフォWifi無効でボタン長押しでWifi有効化とかかな?
"Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため、攻撃者が電波の届く範囲から不正にアクセスすれば、運転状態や室温データの窃取、エアコン設定の不正変更、Wi-Fi通信の停止(DoS)を"
工場出荷時のまま何もしてなくても影響あるとかひどいんですけど うちはそんな機能いらないから繋いでないのに
SSID固定だとまあ攻撃対象にならなくはないか
“攻撃者が電波の届く範囲から不正にアクセスすれば”
炊飯器オーバーフロー脆弱性とは噴飯もの
三菱家電が初期状態で“Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)”なのでリモート操作できると
「Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため」これ実装するときにヤバいなって思わないか。ネットワークつなぐ前提の仕組み作ってて、この実装は酷くないか(対象機種でイラついてる)
初期設定でアクセスさせるためのSSID/Keyがハードコーディングされている。一度初期設定して、家電側から接続していればアクセスできなくなる
ルーターの初期パスも工場出荷で戻るけどあれはどうやってユニークにしてるんだろ
ファームウェア脆弱性系の IoT あるあるかと思ったら、そんなレベルじゃなくて、あり得ない設計でワロタw
白米がお粥になってたら泣ける
主にアプリ向けの初期セットアップ用WiFi APが常に公開されてたって話に見えるけど、これ三菱の他にもあるんじゃね?仕組み的に固定SSID/PWになりがちだし。
エレクトロニクスなのかインダストリーズなのかタイトルでわかるようにしといて。
家電ひとつひとつにインターネットアクセスの必要はないと思う。総合リモコンでひとまとめすれば十分
うちはエアコンとエコキュートが該当するけどWi-Fi設定済み。HomeAssistantで制御してる。エアコンもエコキュートもブラウザから操作できて便利/省エネ住宅の補助金の要件にHEMSがあったりするのでWi-Fi機能が必要になる
ストーカーや侵入盗に悪用されなければいいが…
下手すりゃ10年くらい使う家電で通信機能はなぁ
食洗機がDDoSの踏み台にされた事件があったでしょ……
オンラインの説明書を読むとユニークなSSID/パスワードを振っていそう(本体のシールを参照して初期設定するみたい)なので、サービス用に隠しSSIDでも用意していたのかな?
WatchDogsの世界だ
「DoS攻撃だっ・・・!!て、敵がいるのかっ!この部屋の中にっ!」
ルータの初期パスワードみたいなものでしょう?これを脆弱性というのはちょっと可哀想な気がする。
初期状態だと固定のSSIDとパスワードでAPモードとして動作してたって事なのか。ユーザーの操作なしにAP動作なんてして欲しくないし、仕様考えたときにまずいと思わなかったのかなあ。
“影響を受けるのは、Wi-Fi機能を有効にしたまま、一度もWi-Fiルータに接続していないか、工場出荷時の状態に戻した後、再設定せずに放置している場合。”
最初から織り込み済み?マイナとかで不良市民を割り出してライフライン全停止とかしたいかんじ?
Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていた > 素人丸出しの仕事っぷりに驚愕。