ベッドにバックドアを発見

2025年02月25日 17時00分

セキュリティ企業Truffle Securityを共同設立したディラン・アイリー氏が、「自宅のIoTベッドにバックドアがあった」と報告しました。

Removing Jeff Bezos From My Bed ◆ Truffle Security Co.
https://trufflesecurity.com/blog/removing-jeff-bezos-from-my-bed

アイリー氏は「Eight Sleep」という、マットレス内に設定した温度の水を流すことで全体の温度を調節できる高機能ベッドを2000ドル(約30万円)で購入。不眠症対策に役立てていたのですが、あるとき「好奇心に負けて」ベッドのファームウェアを見てみたところ、「バックドア」が設けられていることがわかったそうです

（中略）

このアクセス権を使って顧客の睡眠時間を把握したり、ベッドに1人ではなく2人で寝ていることを検知したり、あるいはベッドに誰もいないことを検知したり、ベッドの温度を変えたりバイブレーション機能をオンにしたりあらゆることが可能になるとアイリー氏は述べました。

これはたとえば、顧客の別れたパートナーがEight Sleepで働いていたとしたら、ストーカーに応用されてしまうかもしれません。

さらに、デバイスにはログも通知も残されておらず、いつこのようなことが起こったのかを知ることはできないそうです。

アイリー氏は「言うまでもないことだが、エンジニアに任意のSSHアクセス権を与えることはベストプラクティスではない」と指摘。Eight Sleepの温度調節機能を使うのはやめて、水を流すチューブの接続先を150ドル(約2万2400円)で購入した外付けの水槽用温度調節システムに切り替えることで問題を解決したと述べました。

（後略）

※全文はソースで。