単純なセキュリティバグが大学キャンパスの「マスターキー」になっている
今回は「単純なセキュリティバグが大学キャンパスの「マスターキー」になっている」についてご紹介します。
関連ワード (報告、物理的、解決済等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Erik Johnson(エリック・ジョンソン)氏は、大学のモバイル学生IDアプリがまともに使えなかったとき、何か回避方法はないかと探した。
そのアプリはかなり重要で、彼の通っている大学の学生は、これを使って食事代を払ったり、イベントに参加したり、さらには寮の部屋や研究室を始めキャンパスのさまざまな施設の鍵を開けることもできる。GET Mobile(ゲット・モービル)と呼ばれるそのアプリを作ったのはCBORD(シーボード)というテクノロジー企業で、病院や大学にアクセス制御や決済のシステムを提供している。しかしジョンソン氏(およびアプリのレビューに不満の星1つをつけた多くの人たち)は、アプリは動きが遅くロードに時間がかかりすぎると言っていた。もっといい方法があるはずだ。
そして彼は、寮室の鍵を開けた瞬間のアプリのネットワークデータを解析することで、ネットワークリクエストを再現することに成功し、iPhoneのショートカットボタンを1タップするだけでドアを解錠できるようになった。ただしこのショートカットが動作するためには、自分の正確な位置情報をアンロックリクエストと一緒に送る必要があり、それがないと鍵は開かない。ジョンソン氏は、セキュリティの観点からこのアプリを使ってドアを解錠する際に学生は物理的にドアの近くにいなくてはならないようになっていると語った。キャンパス内のあちこちで誤ってドアが開いてしまうことを防ぐための措置だ。
まずはうまくいったが、ここでやめる必要はある?アプリを使わずにドアをアンロックできるとしたら、他にどんな動作を再現できるだろうか?
ジョンソン氏は広く助けを求める必要がなかった。CBORDは、APIを通じて使えるコマンドの一覧表を公開しており、APIは学生の識別情報(例えば彼自身の)を使って制御することができた(各APIでは、インターネットを通じて2つの実体がやり取りすることが可能で、この場合はモバイルアプリと大学の学生データが保存されているサーバー)。
しかし、すぐに彼はある問題を見つけた。APIは学生の識別情報が有効であるかどうかをチェックしていなかった。つまりこれはジョンソン氏、あるいはインターネット上の誰でもが、このAPIを使って他のあらゆる学生のアカウントを、パスワードを知る必要なく乗っとることができるを意味している。ジョンソン氏によると、APIは学生のユニークIDだけをチェックしていたが、ときとしてそのIDは大学が発行した学生のユーザー名あるいは学生ID番号であり、大学によってはオンライン学生名簿で公開しているため秘密とはいえないと同氏は警告した。
ジョンソン氏はこのパスワードバグを、大学の「マスターキー」と評した、少なくともCBORDで制御されているドアに対しての。解錠するためにドアの近くにいなくてはならないという要件についても、バグのおかげで物理的にそこにいるとAPIを思い込ませることができたとジョンソン氏は言った。鍵そのもののおおよその座標を送るだけでよかった。
バグはAPI自身にあることから、他の大学にも影響を与えている可能性があるとジョンソン氏はいうが、アカウントのアクセス境界を超えることを恐れて、チェックはしていない。代わりに彼は、バグをCBORDに報告する手段を探したが、同社のウェブサイトで安全な専用メール窓口を見つけることはできなかった。彼は電話サポートにつないで脆弱性を報告したが、サポート担当者は、会社にセキュリティ窓口はないと答え、バグは大学を通じて報告するように言われた。
このバグは容易に悪用が可能(すでに実行されているかもしれない)であることを踏まえ、ジョンソン氏はTechCrunchに、脆弱性の詳細をCBORDに伝えるよう依頼した。
脆弱性はTechCrunchが2月12日に会社に連絡を取ってからまもなく解決した。CBORDの最高情報責任者、Josh Elder(ジョシュ・エルダー)氏はメールで、問題の脆弱性は解決済みであり、セッションキーは無効化されため、残存していた可能性のあるAPIへの不正アクセスも遮断されたことを確認した。エルダー氏は、CBORDの顧客に通知を送ったと言ったが、メール内容をTechCrunchに知らせることは拒んだ。CBORDを使用している別の組織のセキュリティ担当幹部は、CBORDからその脆弱性に関する通知を受けていない、とTechCrunchに話した。果たしてCBORDが、ユーザーやアカウント保有者、例えばジョンソン氏のような学生に通知するつもりがあるのかどうか、わかっていない。
エルダー氏はジョンソン氏の発見に異議を唱えなかったが、会社がログを保存しているか、あるいはAPIの悪用を検知する仕組みがあるのかという質問に対してそれ以上の回答を拒んだ。TechCrunchは同社広報担当者に追加質問への回答を要求したが、その後連絡を受けていない。
遠隔からドアを解錠できる脆弱性をCBORDが修正しなくてはならなかったのはこれが初めてではない。Wiredは2009年に、ドアの解錠コマンドを傍聴することで次のシーケンス番号を予測し、IDカードの要求を回避できることを報じた。
画像クレジット:Olena Ruban / Getty Images
【原文】
When Erik Johnson couldn’t get his university’s mobile student ID app to reliably work, he sought to find a workaround.
The app is fairly important, since it allows him and every other student at his university to pay for meals, get into events and even unlock doors to dorm rooms, labs and other facilities across campus. The app is called GET Mobile, and it’s developed by CBORD, a technology company that brings access control and payment systems to hospitals and universities. But Johnson — and the many who left the app one-star reviews in frustration — said the app was slow and would take too long to load. There had to be a better way.
And so by analyzing the app’s network data at the same time he unlocked his dorm room door, Johnson found a way to replicate the network request and unlock the door by using a one-tap Shortcut button on his iPhone. For it to work, the Shortcut has to first send his precise location along with the door unlock request or his door won’t open. Johnson said as a security measure students have to be physically in proximity to unlock doors using the app, seen as a measure aimed at preventing accidental door openings across campus.
It worked, but why stop there? If he could unlock a door without needing the app, what other tasks could he replicate?
Johnson didn’t have to look far for help. CBORD publishes a list of commands available through its API, which can be controlled using a student’s credentials, like his. (An API allows two things to talk to each other over the internet, in this case a mobile app and a university’s servers storing students’ data.)
But he soon found a problem: The API was not checking if a student’s credentials were valid. That meant Johnson, or anyone else on the internet, could communicate with the API and take over another student’s account without having to know their password. Johnson said the API only checked the student’s unique ID, but warned that these are sometimes the same as a university-issued student username or student ID number, which some schools publicly list on their online student directories, and as such cannot be considered a secret.
Johnson described the password bug as a “master key” to his university — at least to the doors that are controlled by CBORD. As for needing to be in close proximity to a door to unlock it, Johnson said the bug allowed him to trick the API into thinking he was physically present — simply by sending back the approximate coordinates of the lock itself.
Read more on TechCrunch Security flaws in a popular smart home hub let hackers unlock front doors Fearing coronavirus, a Michigan college is tracking its students with a flawed app Tufts expelled a student for grade hacking. She claims innocence
Since the bug was found in the API, Johnson said the bug could affect other universities, though he didn’t check to see if he was right, fearing that would exceed the bounds of his account access. Instead he looked for a way to report the bug to CBORD, but couldn’t find a dedicated security email on its website. He called the phone support line to disclose the vulnerability but a support representative said they didn’t have a security contact and was told to report the bug through his school.
Assuming that the bug could be easily exploited, if not already, Johnson asked TechCrunch to share details of the vulnerability with CBORD.
The vulnerability was resolved a short time after we contacted the company on February 12. In an email, CBORD chief information officer Josh Elder confirmed the vulnerability is now fixed and session keys were invalidated, effectively closing off any remaining unauthenticated access to the API. Elder said that CBORD’s customers were notified, but Elder declined to share the correspondence with TechCrunch. One security executive, whose organization is also a CBORD customer, told TechCrunch that they had not received any notice from CBORD about the vulnerability. It’s unclear if CBORD ever plans to notify users and account holders — including students like Johnson.
Elder did not dispute Johnson’s findings, but declined to comment further when asked if the company stores logs or has the ability to detect malicious exploitation of its API. TechCrunch did not hear back after we requested to speak with a company spokesperson to answer our further questions.
It’s not the first time that CBORD had to fix a vulnerability that could have remotely unlocked doors. Wired reported in 2009 that it was possible to intercept a door unlock command and guess the next sequence number, defeating the need for an ID card.
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )