アカウント名:
パスワード:
対策情報はOSに対してだけなんだけどざっと見た感じホスト限定の脆弱性とは読めなかったのが気がかり
Apt-X対応のイヤホン(貧弱マイク付き)を便利に使ってるんだがデバイス側は脆弱性の対象外なのかなまぁ対象であってもファーム更新とか無理っぽいんだが
# 実は該当OS載ってましたとかいう機器が出てきそう
Linux,Android,Windows,iOSが対象になっているけど、共通の脆弱性ではなく、OS毎に異なる8個の脆弱性をまとめてBlueBoneと呼んでるみたい。モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。イヤホンの実装はほぼCSRのチップに依存しているけど、今回は対象ではない。
モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。
おうふAterm MRシリーズのLTEルーターもばっちし喰らいそうだBluetoothでスマホから遠隔切り替えできるが当面はBluetoothをOFFにしとかなきゃあかんな
Aterm MRシリーズに関して、Bluetoothテザリング等に対応している時点で嫌な予感しかしませんでしたがビンゴですね。というわけで、BluetoothテザリングをOFF&リモート起動を無効化しておかないと……
MR03LNの場合 [aterm.jp]bluez-4.63.tar.gzbluez-4.98.tar.gzbluez-hcidump-2.2.tar.gz
MR04LNの場合 [aterm.jp]bluez-4.63.tar.gzbluez-4.98.tar.gzbluez-5.19.tar.gzbluez-hcidump-2.2.tar.gz
MR05LNの場合 [aterm.jp]bluezのtar.gzは無い模様(未使用かは不明)
他にも、最近のカーナビとかも携帯のハンズフリーに対応するためにBluetoothスタック積んでるのですよね。セキュリティが甘い車だとCANとかの侵入口になりそうで嫌な感じ。
追記:MR05LNに関してはkernel.tar.gzに入っているカーネルが3.10.49のようですので、MR05LNも該当しますね。
# まぁ、そんな気はしてた。
ごふっありがとうございますorz
これ買っちゃった人もBlueToothオフが鉄則になりますね在庫は2千台以上!格安SIM対応のモバイルルーター「Aterm MR03LN」が税込3,480円 [impress.co.jp]
# 実は既に感染済みのが格安入荷して放出でしたってのはさすがにないと信じたい
> Aterm MRシリーズのLTEルーターもばっちし喰らいそうだ
この脆弱性を報告した Armis Security がGooglePlayで周辺BT端末のチェックをするアプリを公開してるのでそれを使えばBTテザ対応機器とかのチェックができる
ただしこちらの手元の動作では
・iPhone+iOS10でもMedium Riskと表示される、お前んところが発表した内容と違うぞコラ状態・Androidではセキュリティパッチがより新しいほうがHighRisk、古いほうがMediumRiskになるなどつじつまが合わない
と、明らかに発表してる内容と違う結果になる
今回の発表自体なんか怪しいな
チェックツールがまともに判定できないという可能性が漏れてますよ。
> チェックツールがまともに判定できないという可能性が漏れてますよ。
では今回の脆弱性をぶち上げたArmisという企業がWindowsやAndroidにおける実際の影響端末を正しく判定できてないという可能性が出てくるねそちらさんの論拠は当然そういう方向にも波及しなければならない
まぁ実際のところ、すでに言われている通り1つ2つの端末で偶然通る攻撃方法を見つけた企業が死ぬほど極大解釈を重ねた挙句複数の話をごっちゃにしてる粗悪ソースなんだけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ホスト限定の脆弱性なのかな? (スコア:0)
対策情報はOSに対してだけなんだけど
ざっと見た感じホスト限定の脆弱性とは読めなかったのが気がかり
Apt-X対応のイヤホン(貧弱マイク付き)を便利に使ってるんだが
デバイス側は脆弱性の対象外なのかな
まぁ対象であってもファーム更新とか無理っぽいんだが
# 実は該当OS載ってましたとかいう機器が出てきそう
Re: (スコア:1)
Linux,Android,Windows,iOSが対象になっているけど、共通の脆弱性ではなく、OS毎に異なる8個の脆弱性をまとめてBlueBoneと呼んでるみたい。
モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。
イヤホンの実装はほぼCSRのチップに依存しているけど、今回は対象ではない。
Re:ホスト限定の脆弱性なのかな? (スコア:0)
モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。
おうふ
Aterm MRシリーズのLTEルーターもばっちし喰らいそうだ
Bluetoothでスマホから遠隔切り替えできるが
当面はBluetoothをOFFにしとかなきゃあかんな
Re:ホスト限定の脆弱性なのかな? (スコア:1)
Aterm MRシリーズに関して、Bluetoothテザリング等に対応している時点で嫌な予感しかしませんでしたがビンゴですね。
というわけで、BluetoothテザリングをOFF&リモート起動を無効化しておかないと……
MR03LNの場合 [aterm.jp]
bluez-4.63.tar.gz
bluez-4.98.tar.gz
bluez-hcidump-2.2.tar.gz
MR04LNの場合 [aterm.jp]
bluez-4.63.tar.gz
bluez-4.98.tar.gz
bluez-5.19.tar.gz
bluez-hcidump-2.2.tar.gz
MR05LNの場合 [aterm.jp]
bluezのtar.gzは無い模様(未使用かは不明)
他にも、最近のカーナビとかも携帯のハンズフリーに対応するためにBluetoothスタック積んでるのですよね。
セキュリティが甘い車だとCANとかの侵入口になりそうで嫌な感じ。
Re: (スコア:0)
追記:
MR05LNに関してはkernel.tar.gzに入っているカーネルが3.10.49のようですので、MR05LNも該当しますね。
# まぁ、そんな気はしてた。
Re: (スコア:0)
Aterm MRシリーズに関して、Bluetoothテザリング等に対応している時点で嫌な予感しかしませんでしたがビンゴですね。
というわけで、BluetoothテザリングをOFF&リモート起動を無効化しておかないと……
ごふっ
ありがとうございますorz
Re: (スコア:0)
これ買っちゃった人もBlueToothオフが鉄則になりますね
在庫は2千台以上!格安SIM対応のモバイルルーター「Aterm MR03LN」が税込3,480円 [impress.co.jp]
# 実は既に感染済みのが格安入荷して放出でしたってのはさすがにないと信じたい
Re: (スコア:0)
> Aterm MRシリーズのLTEルーターもばっちし喰らいそうだ
この脆弱性を報告した Armis Security がGooglePlayで周辺BT端末のチェックをするアプリを公開してるので
それを使えばBTテザ対応機器とかのチェックができる
ただしこちらの手元の動作では
・iPhone+iOS10でもMedium Riskと表示される、お前んところが発表した内容と違うぞコラ状態
・Androidではセキュリティパッチがより新しいほうがHighRisk、古いほうがMediumRiskになるなどつじつまが合わない
と、明らかに発表してる内容と違う結果になる
今回の発表自体なんか怪しいな
Re: (スコア:0)
チェックツールがまともに判定できないという可能性が漏れてますよ。
Re: (スコア:0)
> チェックツールがまともに判定できないという可能性が漏れてますよ。
では今回の脆弱性をぶち上げたArmisという企業が
WindowsやAndroidにおける実際の影響端末を正しく判定できてないという可能性が出てくるね
そちらさんの論拠は当然そういう方向にも波及しなければならない
まぁ実際のところ、すでに言われている通り
1つ2つの端末で偶然通る攻撃方法を見つけた企業が
死ぬほど極大解釈を重ねた挙句複数の話をごっちゃにしてる粗悪ソースなんだけど