電動歯ブラシをハッキングして現れた暗号を解析した結果とは?
市販の一部の電動歯ブラシには、ブラシ部分が装着されたことを認識して交換時期をお知らせしてくれる機能を持つ製品があります。エンジニアのアーロン・クリストファー氏は電動歯ブラシをハッキングして、パスワードで保護されたこの機能のロック解除を試みました。
Here is the full Philips Sonicare Head NFC Password Calculation ????
— atc1441 (@atc1441) June 9, 2023
How I got there you can find in this Thread.
1/N pic.twitter.com/ooy1v2mBEe
Hacking the Philips Sonicare NFC Password - YouTube
フィリップス製電動歯ブラシ「ソニッケアー」には、ブラシヘッドとハンドル部分が通信を行い、ヘッドが古くなると交換時期であることを知らせる機能が搭載されています。この機能はパスワードで保護されており、特殊な機器やソフトウェアを用いることで、機能のロック解除を行いブラシヘッドの使用時間を自由自在に変更できるようになりますが、クリストファー氏はパスワードを計算するためのアルゴリズムを解析、機能変更のロックを解除することで実現しようとしています。
電動歯ブラシのハッキングを実現するために、クリストファー氏は40ユーロ(約6700円)で販売されていたNFC機能付の「ソニッケアー」を購入。すぐに分解に取り組みました。
Since lately the RF sniffing of the NFC Password was blogged by Cyrill Künzi https://t.co/xHZNb7yScJ I could not stop thinking on how to crack it.
— atc1441 (@atc1441) June 9, 2023
So this afternoon I bought the cheapest available Toothbrush with the NFC feature (40€) and opened it up.
Quite simple to open! pic.twitter.com/gaOO7LVIMG
基板をチェックすると、NFCリーダーの「MFRC630」やSoCとしてMindMotion製の「MM32F001 Cortex M0」、16KBのフラッシュメモリ、2KBのRAMが搭載されていることが明らかとなりました。また、デバッグ用のピンにはわかりやすくラベルが付けられています。
Inside of this version we can find an
— atc1441 (@atc1441) June 9, 2023
NXP NFC Reader MFRC630
and an MindMotion MM32F001 Cortex M0 SoC
16Kb Flash and 2Kb RAM
Plus nicely labeled Debug Pins...
Ok how much on the bet that it will be locked... but lets see... pic.twitter.com/9q9YDDcFSO
基板とPCにつないだフラッシャーを接続すると、SoCやRAMなどの情報が問題なく表示されました。また、「28 06 00 20 C9 00 00 08」という謎の暗号も検出。
Very unusual, after hitting connect I was greeted by a happily connected SWD Flasher which was able to read the full flash without problems ????
— atc1441 (@atc1441) June 9, 2023
wonder who slept there at Philips... pic.twitter.com/SSCmYtAinV
この暗号をプログラム解析ツールのIDAを用いて計算すると、ブラシヘッドと電動歯ブラシ本体に用いられるNFCのパスワードであることが判明。クリストファー氏は「この暗号はNFCタグ内のユーザー識別子にあり、ブラシヘッドにも印刷されている製造文字列を確認することで簡単に解析することができました」と述べています。
After an exiting reverse engineering session in IDA everything came together and the NFC Password calculation was found.
— atc1441 (@atc1441) June 9, 2023
And as shown already its a very simple CRC Calculation over the NFC Tag UID and the Manufacturing String that is in NFC Tag and also printed on the Brush Head pic.twitter.com/lmCkpISgTZ
クリストファー氏は発見したNFC用のパスワードをGitHub上で公開しています。
Philips Sonicare NFC Password generation · GitHub
https://gist.github.com/atc1441/41af75048e4c22af1f5f0d4c1d94bb56
なお、クリストファー氏は今回歯ブラシのハッキングに挑戦したのは、同じくエンジニアのシリル・クンジ氏がフィリップスの電動歯ブラシ「ソニッケアー」をハッキングしたことにインスピレーションを受けたと明かしています。
電動歯ブラシのブラシヘッドをハッキングすると使用時間を書き換えられる - GIGAZINE
・関連記事
Wi-Fi対応ガレージにハッキングして誰でも開けられる欠陥が発覚、メーカーは何ヶ月も修正対応せず - GIGAZINE
ネットにつながる「スマートデバイス」はどの程度ユーザーの生活を「監視」して情報をネットに送信しているのか? - GIGAZINE
デバイスが発するノイズから情報が流出する危険性に注意が必要 - GIGAZINE
IoTデバイスの「admin」や「12345」など推測が容易なデフォルトパスワードをイギリスが世界で初めて禁止 - GIGAZINE
テレビの文字放送を使ってDOOMをプレイすることに成功した猛者が登場 - GIGAZINE
・関連コンテンツ
