HDD製造大手のSeagateが販売する一部の製品には、密かに実装された隠しルートアカウント機能が存在しており、これを悪用することでHDD内部のデータを無制限に盗み出したり悪意あるファイルをア ップロードしたりできる脆弱性があると、セキュリティ研究機関のCERTが指摘しています。
脆弱性が指摘されているのは、Seagateが販売する「Wireless Plus Mobile Storage」「Wireless Mobile Storage」「LaCie Fuel h ard drive」などのワイヤレスでデータの送受信が可能なハードディスク製品。
これらのHDDには隠しルートアカウント機能である「Telnet」サービスが実装されており、この機能を悪用することで、外部からHDDのデータへのアクセスが可能になるとのこと。ハッキングによって予想される被害として、保存するファイルをダウンロードされること、ファイル共有用フォルダに悪意のあるファイルをアップロードされる危険性が指摘されています。
セキュリティ研究者のケニー・ホワイト氏は「SeagateはHDDにルートアカウント機能を実装するのをやめるべきだ」とSeagateの製品設計を非難するコメントを出しています。
CERTによると、Telnet機能による脆弱性を持つのは2014年10月ころに販売されたファームウェアのバージョンが「2.2.0.005 」「2.3.0.014」の製品で、脆弱性は最新のファームウェアで修正可能であることが判明していますが、Seagateからは脆弱性に関するアナウンスはなく、現在のところ個別の質問についても回答はないとのことです。
ソース
http://gigazine.net/news/20150909-seagate-hdd-data-theft/