マウスコンピューター、「mouse スマートホーム」の販売終了。2022年のサービス終了後は全製品が動作不能に 40
ストーリー by hylom
ハッキングよりもサービス終了のほうが先に問題になる時代が来た 部門より
ハッキングよりもサービス終了のほうが先に問題になる時代が来た 部門より
マウスコンピュータが2017年から発売していたスマートホーム関連製品の販売終了を告知している。これに伴って2022年6月30日で同社が提供していたクラウドサービスも終了され、サービス終了後はスマートホーム製品の操作が行えなくなるという(ITmedia、Engadget日本版、PC Watch)。
対象の製品は、赤外線リモコン対応機器を操作できるルームハブやネットワーク経由で家電製品の電源供給をON/OFFできるスマートプラグ、スマートLED電球、ドアセンサーなど。これら製品はスマートフォンなどからネットワーク経由で操作できるが、サービス終了後はすべての機能が利用できなくなるという。
クラウドに依存すると (スコア:2, おもしろおかしい)
巻き添え喰らうど
Re: (スコア:0)
クラウドで、クラウドサーバーの資金調達するしかないね。
# スペル違い
本当に操作できなくなるだけだろうか? (スコア:1)
接続用のドメイン買われて、好き放題にコマンド撃ち込まれない?
Re:本当に操作できなくなるだけだろうか? (スコア:1)
まあ、常識的な設計をしているところなら、TLSの証明書が合ってなきゃ通信のやり取りしないぐらいのセキュリティは持たせてるだろう。
マウスコンピュータの「常識」がどの程度かは知らん。
Re:本当に操作できなくなるだけだろうか? (スコア:1)
これが「常識的な設計」の誤った認識を如実に表しているよな。
TLS証明書のCNが合っているかのチェックだけでは任意コードの実行を防ぐことはできない [srad.jp]し、TLS証明書をハードコーディングすれば任意コード実行は防げるがうんこボタン事案 [it.srad.jp]と同じく文鎮化。
# 乗っ取られて攻撃に加担するくらいなら文鎮化した方がマシ?
Re: (スコア:0)
>TLS証明書をハードコーディングすれば任意コード実行は防げるがうんこボタン事案 [it.srad.jp]と同じく文鎮化。
ファームウェアを落とすときはHTTP使うようにして、改竄対策はファームウェアのバイナリ自体に署名すればいい話では
Re: (スコア:0)
それは暗号化が法で禁止されてる中華製品のバッドノウハウ。
日本では暗号化のためにHTTPS(CNのみ検証)を利用して、改竄対策でファームウェアのバイナリ自体に署名がベストプラクティス。
Re: (スコア:0)
>それは暗号化が法で禁止されてる中華製品のバッドノウハウ。
>日本では暗号化のためにHTTPS(CNのみ検証)を利用して、改竄対策でファームウェアのバイナリ自体に署名がベストプラクティス。
リソースが限られているケースもあるIoTデバイスに、OTAのためだけにトラストチェーンわざわざ構築するんですか?
# ちなみにPS4は「中華製品のバッドノウハウ」を採用しているようです
# https://www.psdevwiki.com/ps4/Ps4-updatelist.xml [psdevwiki.com]
Re: (スコア:0)
そういうケースだと VPN か閉域網を利用するべきだろ
# SONY は本当に HTTPS 対応が遅いよね
# Music Center for PC の自動更新も確か Ver.1.x 時点で平文通信
Re:本当に操作できなくなるだけだろうか? (スコア:1)
>そういうケースだと VPN か閉域網を利用するべきだろ
真面目に理解できないのでお教えいただきたいのですが、たかがファームウェアの配信経路をHTTPSで暗号化したりVPNや閉域網で隠蔽する理由ってなんでしょうか?
そりゃあ配信経路を暗号化すれば防げる攻撃(MITMでファームウェアアップデートの確認に対して常に「ない」と回答し続けるとか)もあるんでしょうけど、コストをかけるほどの価値があるとは思えないのです。
# PS4の話は「ソニーもこんな感じなんだけど、TSLほんとに必要なの?」という意味でしたが分かりにくかったですね。
# ファームウェアじゃありませんが代わりにDebianデフォルトのリポジトリの設定でも貼っときますね
# https://wiki.debian.org/SourcesList [debian.org]
## OpenBSDはデフォルトhttpsでした、さすがTheo師
Re: (スコア:0)
なんで「証明書が合っている」を「TLS証明書のCNが合っているか」に勝手に読み替えて、
その自分で勝手に読み替えた話に突っ込みしてんの?www
元のコメント [srad.jp]の
本当に操作できなくなるだけだろうか?
接続用のドメイン買われて、好き放題にコマンド撃ち込まれない?
という疑問に対するレスなんだから、文鎮化上等な話じゃないのか?
そもそもマウスコンピューターは製品が使えなくなるって言っているんだから。
宅内Wi-Fiのみでは動かせない? (スコア:0)
クラウドサービスとやらがなくても動きそうな気がするんだけど
Re:宅内Wi-Fiのみでは動かせない? (スコア:1)
Livesmartを持ってるけど、これの場合、端末はインターネットの先にあるメーカーのサーバーとしか通信してない感じですね。
モード切替とかで、lAN内のコンピュータと通信できるようにできて、制御コマンドが公開されていればクラウドがなくなっても利用できると思うんだけど、そういう作りにはなっていない(タイマーとかの機能もインターネット上のサーバにある)。
たかが多機能赤外線リモコンなのに、インターネット越しのサーバーがないと動かないという作りはいかがな物かと・・・。
Re: (スコア:0)
最近は多いよ。
要はクラウドサービスで稼ぐ前提でわざと機能を削っている奴って。
見守りカメラとか最近安いと思って買うと、クラウドサービス代金払わないと全く使えないって奴も多い。
Re: (スコア:0)
「将来的に順次対応機器増やしたり機能追加したり」を想定していただろうから、宅内ハブはほぼインターフェイスの役割くらいしか持ってなくてクラウドからの制御になってるんじゃないかな。
その方が宅内ハードを入れ替えることなく機能強化もできるし。
その代償としてサービス終了すると宅内ハブは文鎮化
そのクラウドサービスで使ってたドメインが (スコア:0)
悪意のある人間の手に渡ったらファームウェアの自動更新機能を通じて一瞬で大量のIoT機器を乗っ取れそうですね。
TLSでの証明書検証だけではなくてファームウェアの電子署名検証までちゃんと実装できているのだろうか?
Re:そのクラウドサービスで使ってたドメインが (スコア:1)
ん?ドメインだけ奪ったとしても、秘密鍵もってなければ認証は通せなくない?
どこで発行した証明書使ってるかは知らんが、ドメインを取っただけの別組織の人間に対して、何の審査もなく過去に発行した証明書を再発行とかはしないだろう。
Re: (スコア:0)
えっ HTTPS通信するだけなのに鍵の一致まで見るんですか!?
#3658051 [srad.jp]
Re: (スコア:0)
こういうIoT機器って普通はクライアント証明書使ってるでしょ
Re: (スコア:0)
クライアント証明書使ってるのって一括管理してるビジネス用のが中心じゃない?
本件がどうかは知らんが家庭用のでファームウェア自動更新に使ってるのなんて見たことないぞ
Re: (スコア:0)
ファームウェアの自動更新機能があるなら、なるべく早い時期にサービス終了時に自動で文鎮化するファームを配信しておけばいいんじゃね?
そうすれば少なくとも文鎮化ファームにアプデした人は守れる。
こういうのがあるから中小メーカーのクラウドは使えない (スコア:0)
消費者としては10年20年使う住宅関連製品を数年でサービス終了されては困ってしまう。
大企業がますます強くなってしまうけど、この手のリスクを鑑みると、スマートホーム製品に限らず中小メーカーのクラウドサービスやマイナー製品はおっかなくて使えないという話になってしまうわ。
# という理由で、国内のDRM有な電子書籍ストア使わずにKindleだけ使っているし。
## Google+? Parse? 知らない子ですね…。
Re:こういうのがあるから中小メーカーのクラウドは使えない (スコア:2)
マウスコンピューターはどういうつもりだったんかな?
システムを長期に維持しきる自信があったようには思わないんだけどな。
そんなところを信じてしまったユーザーは(あんまりいなさそうだけど)、契約でサービス停止の免責があるんだろうから自業自得?
ちょっとひどいので、ある程度の規制はあってもいいような。
Re:こういうのがあるから中小メーカーのクラウドは使えない (スコア:1)
一軒家を建てると、普通は数十年住むんだから、建築時に導入した設備に10年間の保証があっても何の意味もなさないわけで、クラウドに限った話ではないと思う。
# セントラルクリーナーの扱いを止めた松下電器は絶対に許さない
Re:こういうのがあるから中小メーカーのクラウドは使えない (スコア:1)
おじいちゃん、許さないって言ったってもう松下電器は無いんですよ。
Re: (スコア:0)
伝声管に転用しよう
転んでもただでは起きない
Re: (スコア:0)
ゴミを送っていた管に口を近づけて喋るのは抵抗があるなぁ
Re: (スコア:0)
Kindleだって気づいたら買った本が永久配信停止になってるんだが
Re: (スコア:0)
自分は、ストアから消えた書籍も普通にライブラリに残ってるが?
ダウンロードもできる。
Re: (スコア:0)
配信停止じゃなくて、以前スラドでも取り上げられた回収の問題だと思います。
Kindle 向け電子書籍に回収騒動、Kindle 内から「勝手に」削除される
https://yro.srad.jp/story/09/07/22/015201/ [yro.srad.jp]
Re: (スコア:0)
あれから10年経つのか。
その後Kindleはこういう問題は発生しているんだろうか(少なくとも報道では見てない)。
客が一旦買ったら商品として取り下げられてもダウンロードは維持してたりしてるってことだろうか。
たとえ一時的に販売された海賊版でも。
Re: (スコア:0)
その件と他社サービスの成長もあってKindleそのものの世間一般に対しての存在感が往時より下がってるのが大きい
騒ぎというほどにならなかっただけでKindle絡みの阿鼻叫喚的ニュースは数回あったよ
Re: (スコア:0)
電子書籍は、返却期限が定まってないレンタルだ、
と思うようになれましたので、気楽に楽しむ
(課金する)ようになりました。
# 本がないのはイヤだけど、一生この本を保持したい、
# と思える書籍もないというのは、さみしい人生とか言われちゃうのかな…
Re: (スコア:0)
一生この本を保持したい、と思う時には紙で買えばよろし。
自分はそういう使い分けしてます。
Re: (スコア:0)
保持したいが場所がない、更に言えば老眼のせいかバックライトがないと文字読むのツライ
みたいな問題があるんで、最近電子書籍にしてます。文字サイズもある程度調整できますしね。
(あんなに文字大きくしてプゲラって笑ってられたのはちょっと前の自分)
楽しみ方は人それぞれじゃないかな?
読みもしないけど所有して本棚に置くことに喜びを見つける人もいるわけで。
「文庫本なんて本棚に入れてどうするの?ハードカバーならわかるんだけど。」
って言われた時に本棚を格納庫(ブックタワーは不安定だしね!)として考えているのか、
インテリアの一つと考えているのかの違いなのかな、と思ったりもした。
Re: (スコア:0)
大企業のクラウドサービスでもやばいですよ
クラウド = 他人に依存するってことだし
Re: (スコア:0)
そもそも月額費用取っていないじゃない。それで維持できるのかな。
リモコンアプリのほうは月額製にしたほうが。
OEM元のサービスに繋がらないのかね (スコア:0)
製品は台湾EQL社のOEM [eqltech.com]でローカライズしてるだけ、って認識なんだけど、EQL社で救済とかできないのかな。
……ハイ、興味本位で購入して封を切らずにほったらかしにしてましたorz
ハックする機会だ (スコア:0)
それならいっそ分解してコンソールなりJTAGなり探し出して、ファーム書き換えてハックだ... という話が出てこないけど、もうアレゲな人は絶滅危惧種なんでしょうか?
Re: (スコア:0)
分解するにしては高価とか・・・?
#サービス終了でゴミ化するなら高価も糞も無いか・・。