米国のセキュリティ会社であるTrustwaveは8月1日、LIXILが提供するAndroid向けトイレ操作アプリ「My SATIS」にハードコード化されたBluetooth PINの脆弱性が見つかったと発表した。
脆弱性は、同社が販売中のトイレ「SATIS」と連携を行うために利用されているBluetoothのPINコードが「0000」固定で設定されているというもの。
この脆弱性を利用することにより、攻撃者は「My SATIS」をダウンロードするだけで、任意の「SATIS」トイレを制御できるようになる。
そのため攻撃者は、トイレ利用者が予期しないタイミングでトイレのフタを開け閉めすることができるほか、ビデや空気乾燥機能のオン/オフも可能となるという。
Trustwaveでは、6月14日~7月12日にかけてLIXILに対して連絡を行ったが、現在のところ応答がないとしている。