Bluetooth実装の脆弱性、BlueBorneについて
Bluetoothの脆弱性を突く攻撃の「BlueBorne」が発表されました。
本脆弱性は対象が「Bluetoothを有効にしているだけ」で攻撃可能であり、約10秒でスマートフォンを乗っ取ることが可能だそうです。本脆弱性の対象OSは、Android、iOS、Linux、Windowsと多岐にわたり、影響を受ける端末台数は数十億にのぼると予想されます。
以下に脆弱性対象となるバージョンを記載します。
・Android
セキュリティ パッチ レベル 2017年 9月を適用していないもの
・Windows
2017年 9月の更新プログラムを適用していないWindows Vista 以降
・Linux
Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン
・iOS, tvOS
iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
MacOSが対象でないのが意外でしたが、問題なのはBluetoothスタックは強い管理権限で動く場合が多いため、管理者権限を取得される恐れがあることです。また、古いAndroid端末のようにファームウェアの更新がされない端末はBluetoothを使用しない以外に回避策がないことです。
今後も(Bluetooth以外でも)このような脆弱性が発表される可能性があるため、古いIoT機器やスマートフォンの利用は控えたほうが良いと考えられます。