おはようございます!!
先日、この記事↓を書いてからGoogleHomeをiPadのBluetooth接続外部スピーカーとして使うようになりました。
GoogleHome:GoogleHomeをスマホの外付けスピーカーとして使う方法
本来のAIスピーカーとしての使い方ではないのですが、まるでiPadが音声操作対応になったようなもので、最高に便利なんです!!
これでAmazonPrimeMusicが使えるなら、AmazonEchoの招待状なんていらないかも(笑)
・・・ところがこの後、Bluetoothに脆弱性が見つかったという話を聞きました。
脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。
(「セキュリティホール」Wikiより)
パソコンやスマホならまだしも、AIスピーカーがハッキングされるなんてビックリです!!
もちろん、ウイルス検出アプリも聞いたこともありません。
ちょっと気になったので調べてみました。
Amazon EchoとGoogle HomeにBluetoothの脆弱性。遠隔コード実行、情報漏れetc…すでに修正済み
http://japanese.engadget.com/2017/11/15/amazon-echo-google-home-bluetooth-etc/
セキュリティ企業のArmisが発見した”BlueBone“と呼ばれるBluetoothの脆弱性は、短時間でスマートフォンやPCなどモバイル機器へ連鎖的にマルウェアを拡散できるほどの深刻さを伴っていました。しかし、問題は発見後すみやかにアップルやマイクロソフト、GoogleといったIT巨人たちに報告され、9月に公表されたときにはほとんどのモバイル機器で問題は修正されていました。
AIスピーカーも既に修正済みならよかったのですが・・・
ただ、すべてのBluetoothデバイスで問題が修正されているわけではなかったようです。ArmisはスマートスピーカーのAmazon EchoとGoogle Homeにも、同様の脆弱性が残っていたことを明らかにしました。
これは、気になります・・・
Armisは今回も発表よりも先に両社に問題を報告していたため、すでにAmazon EchoおよびGoogle HomeのBluetooth脆弱性は潰されているはずです。しかし、Armisはそれでも1500万台出荷されているAmazon Echo、500万台のGoogle Homeに潜在的な危険があるとしています。
Amazon Echoの場合は、内部で動作するLinuxカーネルに脆弱性があり、リモートからコードが実行される問題やSDPサーバの情報漏えいの脆弱性を含んでいました。またGoogle HomeにはAndroidのBluetoothスタックの脆弱性からDoS攻撃を受けたときにシステムがダウンする脆弱性がありました。
これらの問題が悪用された実例があるかどうかはわかっていません。ただ、これら問題はBletooth通信を使えば使うほど悪用される危険があるものの、ワイヤレスで使うスマートスピーカーの性質上、Bluetoothをオフにすることができません。
なお、Amazon Echoの脆弱性に関しては、ファームウェアのバージョンが v591448720 以降であれば問題がないとされます。所有者の方々は、いちど確認しておくと安心です。
AmazonEchoについては v591448720 以降であれば問題がないと明確に書かれてますが、GoogleHomeはどのバージョン以降なのか明確に書かれてません。
探してみると、もう1つ別の記事が見つかりました。
Bluetoothの脆弱性「BlueBorne」、Google HomeやAmazon Echoにも影響–修正済み
同じようなタイトルですが、中身はちょっと違いました。
Armisによると、Amazon Echoは約1500万台、Google Homeは500万台が販売されている。両社はすでにアップデートを提供している。
はい、間違いなくアップデートで対策されているとのことで、よかったです。
・・・と言っても、先の記事とソースは同じように見えますが・・・
Amazon Echoのデバイスは、v591448720よりも新しいバージョンを利用していれば、パッチは適用されている。HomeとHome Miniの現在のファームウェアのバージョンについての詳細は、Google Homeのサポートページで確認できる。
AmazonEchoに関しては全く同じですね。
GoogleHomeのファームバージョン確認方法のリンクはあるのですが、どのバージョンからが対策済みなのかの記述はありませんでした。(これでは中途半端では??)
さらに調べました・・・・・はい、どこにも見つかりません。
探せば多くの似たような記事はあるのですが、見つからないものなんですね。
本来はGoogleHomeの公式ページに記述があってもよいぐらいなのですが、そもそもファームのバージョンアップについても明確にされていません。
(どこか奥底に書かれているかも?)
ちょっと残念なのですが、既に対策済み、という言葉を信じて終わりにします。
(おわり)
