カートリッジ式コーヒーメーカー「Keurig 2.0」に脆弱性、正規カートリッジへの成り済ましが可能

Keurigのカートリッジ式コーヒーメーカー「Keurig 2.0」には互換カートリッジの使用をブロックする機能が搭載されているが、この機能を迂回して正規カートリッジ(K-Cups)に成り済ますことが可能な脆弱性が発見され、脆弱性情報が公開された(Caffeine Securityの脆弱性情報、Hackadayの記事、本家/.)。

Keurig 2.0に互換カートリッジをセットするとエラーメッセージが表示され、抽出を実行することができない。しかし、カートリッジが未使用かどうかを識別する機能が実装されていないため、使用済みの正規カートリッジから注意深く取り外したアルミ箔製のフタ部分を再利用することで、互換カートリッジを正規カートリッジとして認識させることが可能になるという。攻撃者は互換カートリッジのフタ部分に正規カートリッジのフタを重ねてセットするだけで抽出が可能となるほか、切り抜いたフタの一部をKeurig 2.0側に貼り付けることで互換カートリッジを常に正規カートリッジとして認識させることも可能とのこと。これはゼロデイ脆弱性であり、既に実証動画も公開されているが、回避策や修正パッチなどは提供されていない。なお、Keurig 2.0を未使用時に鍵のかかる棚に格納するなどの対策により、脆弱性の影響を緩和できるとのことだ。　スラッシュドットのコメントを読む | idleセクション | 変なモノ | Java | idle

　関連ストーリー：
カートリッジ式コーヒーマシンも互換カートリッジ排除？ 2014年03月08日
スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される 2012年10月17日
mixiのエンジニア、「オンライン・コーヒーポット 2.0」を開発 2009年03月01日
コーヒーメーカーの脆弱性が発覚 2008年06月20日