大人のおもちゃ「アナルプラグ」をハッキングして第三者が自由にコントロール可能に

by Alex-501

スマホと連動する女性用大人のおもちゃが密かに使用データを収集していたとして2016年に集団訴訟へと発展しましたが、今度は、「非常に私的なものであるはずの大人のおもちゃが第三者によって自在にコントロールされてしまう」という可能性が報告されました。

Hack a BT Low Energy (BLE) butt plug – Scubarda
https://scubarda.wordpress.com/2017/10/17/hacking-a-bt-low-energy-ble-butt-plug/

Security Researchers Hacked a Bluetooth-Enabled Butt Plug - Motherboard
https://motherboard.vice.com/en_us/article/ne788b/hackable-bluetooth-buttplug-hush-lovense

セキュリティ研究者・Giovanni Mellini氏が公開したブログ投稿によると、Mellini氏はLovenseというメーカーのアナルプラグ「Hush」を何の権限もなしにコントロールできるようになったとのこと。LovenseはHushについて「世界で初めてのテレディルドニクスなアナルプラグ」であり、「どこからでも操作可能」として売り出していました。

Mellini氏は今回のハッキングにおいて、ハッカーのSimone Margaritelli氏によって作成されGitHubで公開されているBLEスキャナ「BLEAH」を使用しました。本来であればHushはLovense Remoteと呼ばれるアプリから操作されますが、BLEデバイスをハッキングできるようになるBLEAHを使えば、近くにあるHushを、権限なしで、パスワードやPINも必要とせず、PCのコマンドで操作できるようになるとのこと。

Mellini氏がアプリを用いず、PCのコマンドからHushを操作している様子は以下から見ることができます。

Hack a BT Low Energy (BLE) butt plug - YouTube

Bluetoothによる通信は最も安全でない通信方法の1つとして知られていますが、BLEはBluetoothよりも更に攻撃される危険性が高いと言われています。しかし、バッテリー消費が少ないことを理由に、BLEはIoTデバイスを中心とした多くの機器で使われているのが現状です。

Margaritelli氏は「BLEはBluetoothの安価かつセキュリティが弱いバーション」だと説明しており、比較的容易に第三者が介入して攻撃が可能になると警告。そして、いかにBLEがセキュリティ面で貧弱なのかを示すためにBLEAHを公開していました。

Margaritelli氏の記事を読んだMellini氏は、Margaritelli氏と冗談でアナルプラグに対してBLEAHを使うことを話していたのですが、「本当にやるなら一緒にテストしよう」ということになり、HackInBoというイベントの開催地であるボローニャで本当にアナルプラグのハッキングに挑戦したとのことです。