Googleオフィスで導入されていたIoT錠、従業員によってハックされる 8
ストーリー by hylom
Googleにバックドア 部門より
Googleにバックドア 部門より
あるAnonymous Coward曰く、
Googleのオフィスの扉で採用されているネットワーク接続型の錠(スマートロック)には脆弱性があり、ネットワーク経由で悪意のあるコードを送信することで開錠できてしまったという(Forbes、GIGAZINE、Slashdot)。
この錠は本来はRFIDを使ったカードキーを使って開錠するもので、ネットワーク経由で開錠状況を記録する機能があるというもののようだ。しかし、今回発見された脆弱性では外部から開錠ができるだけでなく、記録を残さずに開錠したり、勝手に施錠することもできたという。
この錠はSoftware Houseというメーカーのもので、発見された脆弱性はすでに報告され対応が進んでいるようだ。
Smart Lock(Androidの機能)の場合 (スコア:1)
マップで見ると確かに自宅の座標になっているのに指紋認証かパスワード認証でないとロック解除できなかったり、外出先でワンタップでロック解除できてしまったり。
再起動で正しく動くようになったりならなかったり。
一番納得いかないのは指紋認証がついているのに定期的にパスワードを要求されること。
パスワード入力という手間を省きたいから生体認証使うのにデザインとしてどうなのよ。
Re: (スコア:0)
どうだろうね。
Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
スリープからだと指紋でいいんだけどね。
パスワード管理の1passwordも定期的にマスターパスワード入力を求めてくる。
いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
定期的に頭の中にしかないパスワードで本人確認するのもありではない?
Re: (スコア:0)
> Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
Android も電源投入後の初回はパスワードかパターンとか求められるんだよね。
理由はわからんが、Apple も google もってことは、なんか理由があるんだろうな。
でも Windows Hello は電源投入直後も、使えちゃうんだよな。
困ります、従業員さん (スコア:0)
まあでもこういう人がいるからセキュリティが固くなってくのも事実よね。
Re: (スコア:0)
いっそのこと、google自身で鍵作ればいいのに
# ファインマンが鍵作ったら、どんなのが出来たろうかなと妄想
Re: (スコア:0)
機械錠作りそう、金庫破りが趣味とか読んだ記憶あるし
Re: (スコア:0)
今回のようなスマートキーではないけど、
セキュリティ機器という意味では、Titanとか自分で作り始めてる。
Yubicoさんが涙目だろう・・・
今後他の業者も駆逐されていくか。
Don't be evil (スコア:0)
報告せずに悪用することのない善良な従業員。