Bluetoothの脆弱性を突く攻撃の「BlueBorne」が発表されました。

本脆弱性は対象が「Bluetoothを有効にしているだけ」で攻撃可能であり、約10秒でスマートフォンを乗っ取ることが可能だそうです。本脆弱性の対象OSは、Android、iOS、Linux、Windowsと多岐にわたり、影響を受ける端末台数は数十億にのぼると予想されます。

 以下に脆弱性対象となるバージョンを記載します。

・Android
　セキュリティ パッチ レベル 2017年 9月を適用していないもの

・Windows
　2017年 9月の更新プログラムを適用していないWindows Vista 以降

・Linux
　Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン

・iOS, tvOS
　iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前

MacOSが対象でないのが意外でしたが、問題なのはBluetoothスタックは強い管理権限で動く場合が多いため、管理者権限を取得される恐れがあることです。また、古いAndroid端末のようにファームウェアの更新がされない端末はBluetoothを使用しない以外に回避策がないことです。

今後も（Bluetooth以外でも）このような脆弱性が発表される可能性があるため、古いIoT機器やスマートフォンの利用は控えたほうが良いと考えられます。