読者です 読者をやめる 読者になる 読者になる

Eye-Fi Share

P1080092.JPG

Eye-Fi Shareを買った。話題になっているので、すでに知っている人も多いだろうが、SDカードにワイヤレスLAN機能が搭載されたものだ。

機能などについては、次の記事が参考になるだろう。

利用前に必要なのが、ワイヤレスLANの設定やオンライン写真共有サイトの設定だ。これは、Eye-Fi Managerというものから行うのだが、一度、Eye-Fiのサイト(http://manager.eye.fi/index.php)に接続してから行うようになっている。ワイヤレスLANの設定などを、このオンライン上のフォームに入力するので、Eye-Fiのサイトにそれらが送信されるのかと不安になったが、そんなことは無いようだった。

Eye-Fi_Manager

実際の設定情報は、http://localhost:59278/ に接続されて行われていることがわかった。インストールの途中で、ファイアウォール設定が行われていたが、そこではどうやら"Eye-Fi Manager.exe"を例外に加えていたようだ。つまり、これはEye-Fi Managerが使うポートはすべてオープンされることを意味する。蛇足だが、HTTPヘッダの情報を見ると、SOAPで設定が流し込まれるような仕組みになっている。

ローカルマシンからだけではなく、外部からもアクセス可能*1ということで、セキュリティ的に不安だったのだが、やはりすでに1年近く前にいくつかの問題点が指摘されていた。

The Eye-Fi: A Case Study in Next-Generation Application Security Issues

この記事では、以下の脆弱性が指摘されている。

  • Eye-Fi Managerがリモートからクラッシュ可能
  • Eye-Fi Managerはsettings.xmlファイルを除去することでリモートから無効にできる
  • Eye-FiのソリューションはいくつかのCRSF脆弱性を抱えており、イメージのアップロードをリダイレクトしたり、悪意のあるワイヤレスネットワークに接続するようにEye-Fiカードを構成するようにしたり、ダウンロードを無効にしたりできる
  • アルゴリズムの中でその時点の日時が使われているので、Eye-Fiのイメージアップロードプロセスをスプーフィングすることができる
  • settings.xmlを入手できれば、Eye-Fi Managerを複製するこができる
  • イメージの転送プロセスが暗号化されていない
  • 写真共有サービスが100%安全ではない。そのため、イメージが公開されてしまう可能性がある
  • Eye-Fiカードが悪意のあるスパイツールになりかねない

記事では、すでにEye-Fiに連絡してあるので、ほとんどの問題が修正されたか、修正される予定であると書かれている。しかし、実際にどのバージョンで、どの問題まで修正されているかなどはわからなかった。

Webサービスを用いてのデバイスの設定というのは、すでに行われているし、これからの方向性として正しいと思う。しかし、同時に、そのようなデバイスのセキュリティの課題というものも、このEye-Fi Managerの件から改めて認識させられた。

というか、Eye-Fiは指摘された点に関して対応したならしたで、きちんとどっかに書いておいて欲しい。

<追記> 後日書いた、Eye-Fi Shareセキュリティ再びというポストでさらに詳しく解説している。そちらも参照されたい。

*1:実際に確認はしていないが、ファイアウォールに例外として設定されていたということから、こう推測した。<追記> 良く考えたら、Eye-FiカードからEye-Fi Managerを経由して、そのPCに写真がコピーされるので、確実にファイアウォールには穴が開いている。