電動歯ブラシのブラシヘッドをハッキングすると使用時間を書き換えられる

電動歯ブラシには、ブラシ部分が装着されたことを認識して、そのブラシを交換すべき時期になるとお知らせしてくれる機能を持つものがあります。この機能に目を付け、歯ブラシのハッキングを行った人物が現れました。

Hacking my “smart” toothbrush - The Twenty Percent
https://kuenzi.dev/toothbrush/

エンジニアのシリル・クンジ氏は、フィリップスの電動歯ブラシ「ソニッケアー」を購入。ブラシヘッドとハンドル部分が通信を行い、ヘッドが古くなったときに交換時期であることを知らせる機能があることを知りました。

ヘッドにはNFCチップが埋め込まれていて、さまざまな情報が取得できます。クンジ氏が取得したヘッドの情報はこんな感じ。

さらにNFCツールを用いてメモリの中身をチェックしたクンジ氏は、たとえばアドレスの0x00から0x02が一意のIDとチェックサムであること、黒のブラシヘッドはアドレスの0x22が「31:32:31:34」、白のブラシヘッドは同アドレスが「31:31:31:31」であること、アドレス0x24に合計使用時間が記録されていることなどを突き止めました。

未使用のブラシヘッドのNFCを読み取ると、アドレス0x24の値は「00:00:02:00」でした。この値は、ブラシヘッドをハンドル部分に取り付けるだけでは変化せず、実際に使用すると増加します。5秒間使ったあとの値を調べると「05:00:02:00」だったとのこと。255秒を超えた場合には2番目のビットの値が増え、たとえば258秒の場合は「02:01:02:00」になったとのこと。クンジ氏はこの値を上書きしようとしてみたものの、アドレスがパスワードで保護されていたため失敗しました。

ただ、必要なパスワードは平文で送信されていることがわかったため、クンジ氏はブラシヘッドとハンドルの間の通信を読み取ることにしました。

クンジ氏がRF信号を読み取ろうと試みたときの様子。

クンジ氏はオープンソースの無線受信ソフト・gqrxを用いて、13.736MHzで出ていた信号を受信し、録音してデコードを行い、パスワードの取得に成功。ブラシヘッドの使用時間を自由自在に変更することができるようになりました。

なお、クンジ氏によれば、ブラシヘッドはパスワードを3回間違えるとすべての書き込みが永久に無効化されるように設定されているため、この検証でブラシヘッドを買い直す羽目になったとのこと。

また、すべてのブラシヘッドでパスワードは個別のものが設定されていて、どのように生成されているのかを解き明かそうとしたものの、わからなかったそうです。クンジ氏は「もしこのパズルを解決できたら、ぜひメールで連絡してください」と呼びかけています。