BlueBorne脆弱性がアマゾンエコーとグーグルホームに波及

IoTセキュリティニュース

およそ2,000万台のグーグルホームとアマゾンエコーに、Bluetooth通信の実装における重大な脆弱性を修正するファームウェアアップデートが適用されました。 この2つのデバイスのセキュリティバグは異なりますが、物理的な操作をすることなく製品に不正アクセスされたり、Bluetooth機能を破損させる可能性があります。

この問題は、9月中旬に公開された8つの脆弱性の一部で、BlueBorne (ブルーボーン)と総称されています。 Android、Windows、Linux、およびiOS上の数十億のデバイスのBluetoothプロトコルに影響を及ぼします。この問題は深刻であり、パッチを適用していない製品をハッカーが操作し、そのデバイスを足がかりとして、ネットワーク上の重要なデータ、通信、個人情報を盗んだり、マルウェアを広める可能性があります。

セキュリティ会社Armisの研究者は、アマゾンエコーがBlueBorneスタックの2つの脆弱性(リモートコード実行を引き起こすものと、情報漏えいを引き起こすもの)の影響を受けると述べました。また、エコーに最高権限でアクセスした様子を示す動画を公開し、アレクサの応答を操作することもできました。結果はどうなったでしょうか?攻撃者が目覚めの言葉を言うと、アレクサは自分の名前を答えて、「私はハッキングされています。あなたのリーダーに連れて行ってください。」と話したのです。

Armisのブログ記事で、「これまで難攻不落の壁であったアマゾンエコーに影響を与える最初の深刻なリモート脆弱性であり、広範な物理的攻撃を必要とする唯一の既知の脆弱性を伴っている点にも言及する価値がある。」と述べています。

グーグルホームの場合、このバグは情報漏えいを引き起こすもので、デバイスのBluetooth通信に侵入するために使用され、一部のユーザーにとっては多くの問題を引き起こす可能性があります。グーグルホームはBluetoothを使用して携帯電話やタブレットから音声をストリーミングしますが、スマートホームハブの役割も果たし、家の中の互換性のあるデバイスに命令を送信します。この命令にはBluetoothの通信が使われているものもあります。

グーグルとアマゾンの両社は、この調査が公開される前に脆弱性について報告を受け、問題の修正のためのセキュリティアップデートを公開しました。影響を受けるデバイスは、ユーザーが操作する必要はなく、自動的に新しいソフトウェアが適用されています。

翻訳元記事:BlueBorne Vulnerability Rippled to Amazon Echo and Google Home