Amazon Echo と Google Home、BlueBorne 攻撃に対するパッチを適用

2017.11.29

Amazon Echo と Google Home は、IoT (モノのインターネット) で AI (人工知能) 音声アシスタントを家庭に届ける「スマートスピーカー」として世界中で販売されています。


今週、これらの音声アシスタントデバイスも他のデバイスと同様に、脆弱性が存在していることが確認されました。


Amazon および Google は当該デバイスを保護するため、すでにこの問題を修正しています。9 月に Armis Labs によって報告された 8 件のこれらの脆弱性は BlueBorne(リンク先:英語) と総称されます。


“(引用文日本語訳) BlueBorne は、通常のコンピュータ、携帯電話、および IoT デバイスに影響を及ぼします。ターゲットデバイスが攻撃者のデバイスとペアリングされていなくても、あるいは検出可能なモードに設定されていなくても、攻撃は可能です。”


Armis が以下の問題を公表(リンク先:英語)するまで、誰も Amazon と Google の製品が影響を受けることを知りませんでしたが、多数のユーザー (Echo は 1,500 万人、Google Home は 500 万人) を抱えている両社は、すでに脆弱性を修正しています。


Amazon Echo に影響を及ぼす脆弱性:

パッチを適用しなかった場合、1 つ目の脆弱性を悪用する攻撃者は Echo デバイスを完全に制御できます (PoC (概念実証) ビデオ(リンク先:英語)が公開されています)。2 つ目の脆弱性では、無線通信の保護に使用されている暗号鍵に対して Heartbleed に似た攻撃が実行される可能性があります。


更新後の Echo デバイスでは、ソフトウェアバージョン 591448720 が実行されます。確認する方法については、Amazon の手順に従ってください。


Google Home に影響を及ぼす脆弱性:

  • Android Bluetooth スタックでの情報漏えいの脆弱性 (CVE-2017-0785(リンク先:英語))。デバイスに対する DoS 攻撃の実行に使用される可能性があります。

更新後の Google Home のソフトウェアバージョンは、1.28.99956 (Home Mini の場合は 1.28.100429) です。確認の方法は、Google のサポートページに記載されています。


Armis は、BlueBorne に対して脆弱なデバイスをスキャンする Google Play ストアのアプリもすでにリリースしています。


公正を期するために言っておくと、BlueBorne は Amazon、Google 製品以外にも、コンピュータ、電話、IoT デバイスなど多種多様な Bluetooth デバイスで使用されている技術に影響を及ぼします。


BlueBorne の件は、今では個人ユーザーだけでなく企業も購入するようになったこの種のデバイスの脆弱性が攻撃に悪用された場合の被害の大きさを示唆しています。


たとえば、先月 Google Home Mini では、ユーザーの知らないうちに会話が 2 日間録音される問題が発見されました。これは設計上の問題でしたが、デバイスによる監視の可能性がこの問題によって明らかになりました。


Armis はまた、IoT 自体の無秩序な拡大についても次のように懸念を示しています。


“(引用文日本語訳) 2~3 種類の主要な OS が市場を占有している PC やモバイルの世界とは異なり、IoT デバイスにはそのような支配的企業は存在しません。”


要するに、市場が細分化されているため、ある問題が自社に影響を及ぼすかどうかをベンダーが判断するのは容易ではない、ということです。


Echo と Home については、他の多くの IoTデバイスとは異なり、ユーザーが何もしなくても更新が可能であるため、それほど心配する必要はないかもしれません。しかし、今から数年後にサポート終了が発表されたら、そのときにはどうなるのでしょうか。


現在購入されている Amazon Echo や Google Home がサポート終了後もどこかで使い続けられることは、容易に想像できます。つまり、ユーザーの会話を常に聴いているこれらのデバイスがサポート終了を迎えた後も、脆弱性は永久に存在し続けるということです。

引用元

おすすめの記事はこちら