GoogleとAmazonは、それぞれが販売しているスマートホームスピーカ「Google Home」と「Amazon Echo」について、修正パッチの配布を開始している。多数の機器に存在するBluetoothの脆弱性「BlueBorne」に対処するためだ。
BlueBorneは8件のBluetooth脆弱性の総称で、「iOS」「Android」「Windows」「Linux」を搭載する多数のスマートフォンやコンピュータに影響を及ぼすことがすでに知られている。この脆弱性を発見したセキュリティ企業Armisはその後、HomeやEchoにおけるこれらの脆弱性が、マルウェアで他のデバイスを攻撃するための入口として使われる可能性があると警告した。
攻撃者はBluetoothの通信可能範囲内にいる必要があるが、これらの問題を利用すると、ペアリングをしなくてもBluetoothが有効化されたデバイスを攻撃できる。
Armisによると、Amazon Echoは約1500万台、Google Homeは500万台が販売されている。両社はすでにアップデートを提供している。
Echoには、Linuxカーネルにおける遠隔コード実行の脆弱性と、SDPサーバでの情報漏えいの脆弱性などがあった。Google Homeは、AndroidのBluetoothスタックにおける情報漏えいの脆弱性の影響を受けた。攻撃者がこれらの脆弱性を利用すると、Echoを制御下に置いたり、HomeのBluetooth通信機能を妨げたりする恐れがある。
Armisの顧客に対して行った調査によると、82%の企業が社内に少なくとも1台のEchoを置いていることがわかった。これらのデバイスは、企業のネットワークに侵入するための足がかりになる可能性があるとArmisは警告している。
Armisは、最初に情報を公開した時点では、EchoとHomeが影響を受けることに言及しなかった。しかし同社は、メーカーがどのようにBluetoothを実装しているかにもよるが、IoT製品を含めてすべてのBluetoothデバイスが影響される可能性があるとしていた。業界団体のBluetooth SIGの推定によると、Bluetoothを搭載したデバイスは82億台にものぼり、その範囲も自動車、医療機器、ウェアラブル機器、小売店で用いられるBluetoothビーコンなど多岐にわたる。GoogleやMicrosoftは問題に対処しており、Linuxでも対応されている。
Amazon Echoのデバイスは、v591448720よりも新しいバージョンを利用していれば、パッチは適用されている。HomeとHome Miniの現在のファームウェアのバージョンについての詳細は、Google Homeのサポートページで確認できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス