外国人「まさかの3万ドル獲得」PS5コントローラーで掃除機を動かそうとした結果・・・

Engineer receives $30,000 for exposing a vulnerability affecting 7,000 robot vacuum cleaners — tinkerer just wanted to drive his robot vacuum with a PS5 controller
byu/Sorry_Search_8991 intechnology

エンジニアが、7000台のロボット掃除機に影響する脆弱性を発見して、3万ドルを受け取った。
そのきっかけは、ただ自分のロボット掃除機をPS5コントローラーで動かしてみたかっただけだった。

https://robot.sayukikoo.com/archives/5505

eebslogic
カメラだけじゃなく、マイクにもアクセスできる状態だったのを暴いたんだよね。これはさすがにヤバい。

zmoit
こういう製品には、どんなデータ取得機能やセンサーが付いているのか、最初から分かりやすく表示するべきだ。小さい注意書きの法務文書でごまかすんじゃなくて。

beachfrontprod
↑ というか、そもそもカメラやマイク付きのロボット掃除機なんて作るべきじゃない。

StarsMine
マイクはさすがに変だけど、ロボット掃除機に何らかのカメラ機能がないと動かないんじゃないかな。赤外線や電波、マイクロ波のカメラだって結局はカメラだし。

nickcash
↑ うちのroborockにも障害物を見分けるためのカメラがある。遠隔アクセスは初期設定ではオフで、有効にするには本体のボタンを実際に押さないといけないから、その点は評価してる。
ただ、遠隔で見る意味はあまりないね。世界で二番目にひどいFPSゲームを30秒だけ眺めるみたいな感じで、ちょっと面白いだけ。

xXBeefSquatch5KXx
これからは毎日、ロボット掃除機の前で裸スクワットすることにする。しかも自分はかなりデカい。
ハッカーのみなさん、楽しんでくれよ。

Guac_in_my_rarri
カメラは、どこでどう引っかかってるかを見るためのものだよ。自分は別ブランドの同機能モデルを持ってるけど、ネットワークにはつないでない。パンフレットでも、位置確認用のカメラとしてしっかり宣伝されてた。

not_right
これってつまり、理論上はPS5コントローラーで7000台の掃除機を同時操作できた可能性もあるってこと？それはそれで見てみたい。

crowdedlight
自分は、カメラではなくLidarだけで検知する機種をあえて選んだ。障害物の種類までは分かりにくいけど、自分にはそれで十分。
でも最近の新しい機種は、残念ながらカメラとマイク付きが多いみたいだね。

VirtualMemory9196
カメラを付けるならネット接続はなし、ネット接続を付けるならカメラはなし、そのどちらかにするべきだ。

amakai
↑ それか、カメラがインターネットに一切公開されていないことを証明できるように、オープンソース化するべきだね。

AdQuirky3186
認証キーを7000台の機器で共有するような脆弱性って、そもそもどうやったら実装できるんだ。テスト用の開発キーを消し忘れたのか。キー生成で7000件も衝突したのか。意味が分からない。

-dannyboy
↑ 前の議論でも誰かが言ってたけど、安いスマート機器のメーカーって、ちゃんとしたソフト開発やセキュリティ監査にお金をかける動機があまりないんだよね。既製品のファームウェアを少しいじって、自社ロゴを貼るだけで済ませがちなんだと思う。締め切りに間に合わせるために、動くっぽい程度の状態で急いで出したとしても全然驚かない。

eugene20
なんでマイクが付いてるんだ？

screwcork313
↑ 世界の優秀な頭脳たちは、VZzZZZzZzhZHZHZHZHHZHh って10分間鳴り続ける音が、次の大ヒット曲になるかもしれないと思ってるんだろうね。

swarleyknope
↑ たぶんAlexaやGoogle Assistant、Siriとの互換性があるんじゃないかな。
Roombaは、アプリを開かなくても声で掃除開始を指示できるように設計されているし、これも似たような仕組みかもしれない。

SIGMA920
これは意図的なバックドアだよ。

junktech
自分にとっては、むしろ彼がちゃんと報酬をもらえたことのほうが驚きだよ。たいていの会社は、そんな話はなかったことにするか、改造したとか公開したとかで逆に脅したり訴えたりするからね。

PS5のコントローラーでロボット掃除機を動かしたいって発想も面白いけど、そこから脆弱性まで見つかるのはすごいね