HEMSのローカルデータストレージの漏洩 - 黒林檎のお部屋♬黒林檎です。 IoT機器の脆弱性診断の報告対象に「ローカルデータストレージの漏洩」というものがあります。 これは、IoT機器などから資格情報やPII(個人を特定できる情報)・PHI(健康情報)などの情報を抽出できる場合に指摘されるものです。 そこで今日は、IoT機器として注目を良く浴びるようになったHEMS(Home Energy Management System)を見ていきます。 この脆弱性の範囲として、ユーザーが廃棄したIoT機器を攻撃者が拾った場合に上記の情報を攻撃者が取得し悪用できる可能性がある場合なども含むこともあると思います。(Trash can attackっていう名前で呼ばれているらしいですが、ここは日本なのでゴミ箱攻撃と呼んでいきます。) [+]Trash can attack 参考 Headworx: Trash Can Attack 攻撃までの流れを図解していくと・
