更新されたAmazon と Google は、最近発見された Bluetooth 関連のセキュリティ脆弱性に対する防御として、それぞれ Echo と Home AI アシスタント デバイスに自動的にパッチを適用しました。
BlueBorne(以下のビデオで説明されている)は、主要ハードウェアベンダーが使用するBluetoothスタックに発見された8つの悪用可能な脆弱性の総称です。カリフォルニアに拠点を置くIoTセキュリティ企業Armisが9月に発表したところによると、これらの8つの脆弱性は推定53億台のAndroid、iOS、Linux、Windowsデバイスに影響を与えています。Amazon EchoとGoogle Homeも脆弱でしたが、この情報はエンドポイントに配信されているパッチの開発が完了するまで公表されていませんでした。
研究者らは、音声操作型パーソナルアシスタントデバイスの未修正のバグを悪用することで、ハッカーはデバイスを乗っ取り、マルウェアを拡散させ、「中間者攻撃」によってデータを盗み出したり、同じホームネットワーク上の他のデバイスをハッキングしたりする可能性があると警告している。BlueBorneは、悪意のあるリンクをクリックしたり、ファイルをダウンロードしたり、あるいは何らかの形でデバイスとやり取りしたりといったユーザーを騙すことなく、脆弱なBluetooth対応デバイスをハッキングできるため、攻撃者にとって魅力的な攻撃手法となる可能性がある。攻撃者が物理的に範囲内にいれば、脆弱性を攻撃し、無線経由でデバイスに侵入することが可能になるのだ。
Bluetoothのバグが数十億台のデバイスを悩ませている
続きを読む
Consumer Intelligence Research Partners(CIRP)の9月の推計によると、Amazon Echoは約1,500万台、Google Homeは約500万台販売されています。スマートデバイスやアシスタントは、企業環境にも導入され始めています。
「BlueBorneやKRACKといった空中脅威の増加は、企業にとって警鐘となっています。従来のセキュリティ対策では、企業環境内のIoTデバイスやコネクテッドデバイスを狙う新たな攻撃ベクトルを防御することはできないのです」と、Armisの最高経営責任者であるエフゲニー・ディブロフ氏は述べています。「すべての組織は、自社環境内の許可されたIoTデバイスと許可されていないIoTデバイスを可視化する必要があります。」
Armis は、影響を受けるデバイスを識別するために使用できるカスタムの脆弱性スキャン アプリを Google Play ストアでリリースしました。
YouTubeビデオ
Google は声明の中で、数週間前に BlueBorne の脆弱性に対処するため、ユーザーのデバイスにパッチを自動的にリリースしたとEl Regに伝えた。
ユーザーの皆様は特にご対応いただく必要はございません。数週間前にGoogle Homeに自動パッチを適用しており、GoogleもArmisもこの攻撃の証拠を実環境で発見しておりません。いつものように、すべてのユーザーの安全を守るために尽力してくださっている研究者の皆様に感謝申し上げます。
本日EchoのアップデートをリリースしたAmazonの広報担当者は、The Registerに対し、 Echoのデバイスにも自動的にパッチが適用されると語りました。「お客様からの信頼は私たちにとって重要であり、セキュリティは真剣に考えています。デバイスは自動的にセキュリティ修正プログラムにアップデートされるため、お客様は特別な対応をする必要はありません。」
つまり、あなたがこの記事を読んでいる頃には、あなたの AI のおしゃべり友達はすでに BlueBorne に対する予防接種を受けているということです。®
追加更新
Googleの広報担当者は、Homesは現場でアップデートされており、機器を手動でアップデートする必要はないと強調した。
