人気のペット用自動給餌器エコシステム「Petlibro」で、一連の脆弱性が発見されました。最悪の場合、これらの脆弱性により攻撃者は他人のアカウントにアクセスし、ペットのデータにアクセスし、接続されたデバイスを制御して、給餌スケジュールやカメラの動作まで変更できてしまいました。
分析を公開した研究者によると、同社は一部の問題を迅速に修正したものの、サードパーティのアカウントログイン機構における主要な欠陥は「互換性の理由」で2か月以上有効なままで、公開後にようやく無効化されたとのことです。
著者によれば、調査はPetlibroのモバイルアプリの分析から始まりました。このアプリは、給餌器や給水器、その他のペット向けスマートIoTデバイスの所有者が利用します。こうしたデバイスは自宅に設置され、たとえば旅行中に猫や犬に餌を与えるといった目的で遠隔から使用されることがよくあります。
そのため、このケースでは認可やアクセス制御の不備が特に深刻です。単なるデータの問題ではなく、デバイス、ひいては人の生活そのものに対する実質的な制御に関わるからです。
研究者が主な発見として挙げているのは、「ソーシャル」ログインのシナリオの一つにおける認証バイパスです。問題は、サーバーがOAuthトークンの有効性を検証せず、クライアントから送られてくるデータを信頼していた点にあったと説明しています。
その結果、公開されている識別子を知っていれば、他人のプロフィールのセッションを取得できました。同社はより安全な新しい仕組みを追加したとしていますが、ユーザーの大半がアプリを更新するまでの間、「レガシー互換性」のために古く脆弱な経路も残していました。
さらに著者は、連鎖がプライバシーとハードウェア制御へと発展したと説明します。APIには、要求が所有者からのものかを確認せずに、IDだけでペットのデータを返すメソッドが含まれていたというのです。これにより、ペットのプロフィール、すなわち名前、生年月日、体重、活動量や食欲のパラメータ、写真、所有者との紐付けを取得できました。研究者によれば、同じデータを使ってデバイス情報(技術的な識別子を含む)にもアクセスでき、結果として所有者が可能な操作――設定変更、手動給餌の開始、スケジュール管理、そしてカメラ搭載モデルでは映像ストリームへのアクセス――を実行できたといいます。
著者はまた、個人データ漏えいのリスクも指摘しています。一部のデバイスでは、給餌時にペットに再生される音声メッセージを録音できるためです。著者の見解では、これら録音の識別子は推測可能で、録音とデバイスの関連付けも十分に安全ではなく、他人の音声ファイルにアクセスできてしまったとのことです。
別のシナリオとして、共有機能の不備により、他人のデバイスに対して「共有オーナー」として自分を追加できる可能性も説明されています。
この件は、研究者にとって「ゲームのルール」をめぐる対立も含んでいました。著者の時系列によれば、2025年11月5日に問題を報告し、受理の確認と500ドルの報奨金の提示を受け、その後、同社が支払い情報を提供したのちに秘密保持の書面を送り、署名を繰り返し求めたといいます。研究者は、事前に秘密保持契約に同意しておらず署名を拒否したと主張し、「彼らが金を送ったのだから自分は同意した」という一方的なやり方は成り立たないと強調しています。
12月4日時点でPetlibroは、「大半」の脆弱性は修正され、認可バイパスも「アプリの最新バージョンで修正された」と報告しましたが、脆弱な「旧式」アプリはその後も数週間にわたり動作し続けました。
ユーザーにとって結論はシンプルです。Petlibro(または同様のIoTデバイス)を使用している場合は、アプリとファームウェアを最新バージョンに更新し、ソーシャルログインとデバイスの共有アクセスにはより注意を払う必要があります。メーカーにとっては、この事例は改めて、デバイスの認可や遠隔制御に関して危険な機能を残す言い訳として「互換性」を使うべきではないことを示しています。
この記事は気に入りましたか? 私たちはLinkedIn、Facebook、Instagramのコミュニティで議論しています。サイバーセキュリティの最新情報を毎日受け取るにはGoogle Newsでもフォローしてください。掲載したいニュース、分析、寄稿をお知らせいただける場合は、こちらにご連絡ください。