非常に多数のBluetoothデバイスに影響する脆弱性が見つかる 116
ストーリー by hylom
これはやばい 部門より
これはやばい 部門より
あるAnonymous Coward 曰く、
JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという(CNET Japan、ITmedia、TechCrunch、PC Watch)。
影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。
ジュリアス シーザー いわく (スコア:5, おもしろおかしい)
Re:ジュリアス シーザー いわく (スコア:1)
ユリウス カエサルとラテン語読みで習ったせいか。誰それ感がある。
実はブルートゥスとラテン語読みのが近い。シェークスピア的には英語読みが正しい。
とりあえずこの脆弱性を発表した企業のツールを試してみた (スコア:2, 興味深い)
GooglePlayでArmis Security社自身がツールを公開しているのでとりあえず人柱
ツール自体が結構怪しいとレビューされてるので一応壊されてもいい端末だけ試験
(1)Nexus7-2013の最新Googleファーム(Android6.0.1でセキュリティパッチレベルは2016/8)で試したところ、
なぜか Medium Risk ということで High Risk という扱いにはならなかった
(2)iPhone6S + 最新iOS10でも Midium Risk と扱われる
なんで? iPhone6S + 最新iOS10でも危険性があるってこと?
(3)2016/11のセキュリティパッチが当たったAndroid6.0.1のスマホで試したところ、
High Risk と扱われる
まとめ
iPhone6S+最新iOS10でも危険扱いされます
Androidでは、セキュリティパッチがより新しくてもなぜかHigh Risk扱いされたり、古くても Medium Risk 扱いされたりします
大丈夫かこの脆弱性ぶち上げた企業
Re:とりあえずこの脆弱性を発表した企業のツールを試してみた (スコア:1)
推測も交えて整理すると、修正されているのは2017年9月1日のパッチだよ。
>(1)Nexus7-2013の最新Googleファーム(Android6.0.1でセキュリティパッチレベルは2016/8)で試したところ、
> なぜか Medium Risk ということで High Risk という扱いにはならなかった
Google謹製Androidは2017/9/1のアップデートがあるのでMedium Riskなのかもしれない。
Nexus7に提供されるのかは疑問だが、機種名までは見てない可能性がある。
>(2)iPhone6S + 最新iOS10でも Midium Risk と扱われる
> なんで? iPhone6S + 最新iOS10でも危険性があるってこと?
iOSのバージョンは見ていないから、修正されているかどうか不明なのでMedium Riskなのかもしれない。
>(3)2016/11のセキュリティパッチが当たったAndroid6.0.1のスマホで試したところ、
> High Risk と扱われる
これは当然。
パッチも古いし、機種として2017/9/1のパッチが存在しないからHigh Riskになるのかもしれない。
> iPhone6S+最新iOS10でも危険扱いされます
> Androidでは、セキュリティパッチがより新しくてもなぜかHigh Risk扱いされたり、古くても Medium Risk 扱いされたりします
実際に周囲のデバイスを攻撃してみてチェックすると問題がありそう。
だからベンダー情報や型番から判断しているだけじゃないかな。
IoT機器の何割が影響を受けるか見当がつかん (スコア:1)
2年くらい前に、検証という名目で手当たり次第買って試していた時期がありますが、
大半の機器にBluetoothスタックが載っていました。
Linux+Bluezなものが多かったので、本件脆弱性の対象ばかりだと思われます。
当時メジャーと思われるものを買い漁っていたので、世間的にもかなりの割合で
対象になるのではないかな? どう更新するのだろう・・・。
Androidオワタ (スコア:0)
9月のセキュリティパッチなんて来るのはNexusとPixelぐらいなもので、大多数のAndroidは死亡でしょ?
Bluetooth ONでも表に出てなければ大丈夫なのかな?
Re:Androidオワタ (スコア:2)
Re:Androidオワタ (スコア:2)
Google社が公開しているAndroid OSセキュリティパッチを更新しました。
だけではいつのパッチが当たったのかがわからないのが,Androidの痛いところ。
Re: (スコア:0)
端末情報に出ていますが。Androidセキュリティパッチレベル2017年7月1日…
Re:Androidオワタ (スコア:2)
それによれば,Axon7は8/1のパッチが当たってるようです。
なかなか優秀。
Re:Androidオワタ (スコア:1)
Motorolaでもまだセキュリティパッチは7月どまりですね
近距離通信なので、外から感知できるような距離でなければ大丈夫かと
近くに数分いても違和感ない場所なんて幾らでもあるし、かなり危険ですよね
#電車とか
帰りの電車でスキャンしてみようかな…
Re: (スコア:0)
G5+で8月が降ってきましたが毎月更新が来るわけではないので次はいつになるやら…
Re:Androidオワタ (スコア:1)
Huawei P9 使ってるけど、割とちゃんとセキュリティパッチがあたった更新をくれる。
だけど、更新するよ、ってリリースが出るのがひと月遅れぐらい、それが自分の端末に降ってくるのがそこから 2 週間後ぐらいかな。
Re:Androidオワタ (スコア:2)
Huawei Mediapad T2 Proを使ってるけど、更新はさっぱり。
P9と対応が違うのはやっぱり廉価機種だから?
Re:Androidオワタ (スコア:1)
BlackBerryのAndroid端末は律儀に毎月1回セキュリティパッチ更新してますよ。
この前うちのBBB100-6(KEYone)にもOTAで降ってきました。STV100-3(Priv)の分もアナウンスはされているけどまだOTAでは降ってきてませんね。
Re:Androidオワタ (スコア:1)
セキュリティを売りにしてる Blackberry は、Nexusや Pixel よりも提供が早いですね。だいたいニュースになる前に更新されてます。
Samsung / LG は1週間から2週間ぐらい後ですかね? Samsung はいつのまにか適用されてるので時期がわかりませんけど。
2016年の時点ですが Android の半数は月例パッチが配信(適用されたかは不明)されたことが確認されており、トップ50メーカーのうち半数は対応してるようです。
日本は残念な状況ですけど。
Re: (スコア:0)
> 2016年の時点ですが Android の半数は月例パッチが配信(適用されたかは不明)されたことが確認されており
「Android の半数」ってのは、「Android端末」の半数?「Android端末機種」の半数?
それとも「Android端末メーカー」の半数?
あるいは「トップ50メーカーのうち半数」というのがその「半数」の意味なの?
Re:Androidオワタ (スコア:1)
ちゃんとパッチ来るよ!と報告している人のスマホは海外メーカばかりだな…。
Re:Androidオワタ (スコア:1)
Android One なら来るよ。少なくとも自分の京セラ S2 は月1で定期的に更新されてる。
8/29 の更新で Android 7.1.2 になってる。
このペースなら遅くても10月には修正されるだろうね。
# mishimaは本田透先生を熱烈に応援しています
Re: (スコア:0)
Xperia X Performance はグローバル版より docomo 版の方が先にパッチあたるんだよなぁ。
どういうことなんだろう。
Re: (スコア:0)
Sony Ericssonは。。。
出るとしても次のパッチを
Googleが3つ出した先くらいかな。。。
# Unlocck前提端末と割り切るべきか
Re: (スコア:0)
> Sony Ericssonは。。。
過去の世界から来たタイムトラベラーか誰かですか?
もうそんな会社とっくにねぇよ。
Re: (スコア:0)
SHARPはもう海外メーカ扱いでいいんでしょうか?
Re: (スコア:0)
Nexus 5Xを持っていますが、セキュリティパッチではなく、Android Oが今朝、降ってきました。これは大丈夫なのかな。
Re: (スコア:0)
Oreoは降ってきたけど8月パッチどまりで9月パッチが来ないよ
ホスト限定の脆弱性なのかな? (スコア:0)
対策情報はOSに対してだけなんだけど
ざっと見た感じホスト限定の脆弱性とは読めなかったのが気がかり
Apt-X対応のイヤホン(貧弱マイク付き)を便利に使ってるんだが
デバイス側は脆弱性の対象外なのかな
まぁ対象であってもファーム更新とか無理っぽいんだが
# 実は該当OS載ってましたとかいう機器が出てきそう
Re:ホスト限定の脆弱性なのかな? (スコア:1)
Linux,Android,Windows,iOSが対象になっているけど、共通の脆弱性ではなく、OS毎に異なる8個の脆弱性をまとめてBlueBoneと呼んでるみたい。
モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。
イヤホンの実装はほぼCSRのチップに依存しているけど、今回は対象ではない。
Re: (スコア:0)
モバイルルーターもLinuxで、最近Bluetooth積んでいるので対象かもね。
おうふ
Aterm MRシリーズのLTEルーターもばっちし喰らいそうだ
Bluetoothでスマホから遠隔切り替えできるが
当面はBluetoothをOFFにしとかなきゃあかんな
Re:ホスト限定の脆弱性なのかな? (スコア:1)
Aterm MRシリーズに関して、Bluetoothテザリング等に対応している時点で嫌な予感しかしませんでしたがビンゴですね。
というわけで、BluetoothテザリングをOFF&リモート起動を無効化しておかないと……
MR03LNの場合 [aterm.jp]
bluez-4.63.tar.gz
bluez-4.98.tar.gz
bluez-hcidump-2.2.tar.gz
MR04LNの場合 [aterm.jp]
bluez-4.63.tar.gz
bluez-4.98.tar.gz
bluez-5.19.tar.gz
bluez-hcidump-2.2.tar.gz
MR05LNの場合 [aterm.jp]
bluezのtar.gzは無い模様(未使用かは不明)
他にも、最近のカーナビとかも携帯のハンズフリーに対応するためにBluetoothスタック積んでるのですよね。
セキュリティが甘い車だとCANとかの侵入口になりそうで嫌な感じ。
Re: (スコア:0)
追記:
MR05LNに関してはkernel.tar.gzに入っているカーネルが3.10.49のようですので、MR05LNも該当しますね。
# まぁ、そんな気はしてた。
Re: (スコア:0)
おまえnemui4だろ
Debian (スコア:0)
今日更新来てましたので早速当てました
恐らくRaspbianも来るんじゃなかろうか
ラズパイ系はIot向けWindows10含めて一安心かな
Mac OSは? (スコア:0)
今回リストに挙がったOSの中にMac OSは入っていないようだが、大丈夫と言うことなのか?
Mac OSだけBluetoothの実装の仕方がなんか違うんかな。
Re:Mac OSは? (スコア:1)
脆弱性を見つけたArmisの技術的説明 [armis.com]
MacOSはたまたま見つからなかっただけ。多分Bluetooth Low Energy Audio Protocolを実装してない。
Re: (スコア:0)
今回明らかになったiOSの脆弱性はLEAPがらみだけど、他のOSに見られた脆弱性は全然別の場所のものだし、
LEAPを持ってないからというものでもあるまい。
Re: (スコア:0)
こっちのリンクのほうが詳しい。
https://jvn.jp/vu/JVNVU95513538/ [jvn.jp]
単一の脆弱性ではなく、Bluetooth関連の複数の脆弱性をまとめて"BlueBorne"と呼んでいて、OS毎に脆弱性が異なっている。
Mac OSにはたまたま該当するものがなかったのでは。BSDも対象外みたいですし。
Re: (スコア:0)
いや、君が読もうやwww
君が引っ張って来た引用文のどこにMac OSの文字があるの?
ん~、もしかしてMacに載ってるのはiOSかtvOSだと思ってるのかな?
Re: (スコア:0)
macOSをタッチパネルの携帯機器に最適化した形で再構成したものgがiOSなんだが
君のMacは独自のBlueToothスタックでもぶち込んでいるのかい?
Re: (スコア:0)
それで今回の脆弱性が及ぶかどうかの話になんか役に立つの、それ?w
実際、iOSとMac OSで共通の脆弱性を持っていたことなんてどれほどあるの?
typoしているところを見ると、顔真っ赤で書いてるみたいだけどwww
Re: (スコア:0)
シッタカぶった上で、見当違いなアドバイスを出してくる。なかなか見事な滑りっぷりだ。
bluetooth機能オフにしてたら大丈夫なの? (スコア:0)
教えてエロい人。
Re: (スコア:0)
パッチを当てるまでの暫定対応として、OFFにすることが推奨されてます
http://jvn.jp/vu/JVNVU95513538/index.html [jvn.jp]
つまり今のところはOFFで大丈夫
Re: (スコア:0)
PC Watch記事末尾を読む限り、リモートでBTをONにできるような脆弱性まではこれにはないようです。
※端末固有にそういう問題がある場合は知らない
Re: (スコア:0)
そら無線がオフにされていたら、そもそもアクセスのしようがないしなw
Re: (スコア:0)
Google アシスタント等でBluetoothのOn/Off制御が出来るようになるとヤバい [security.srad.jp]かもしれない。
Re: (スコア:0)
ブラウザから使えるWebBluetoothも
ON/OFFはさせないみたいだし大丈夫かもね
VBScript使えたIEの場合は
レジストリ操作で強制ONは可能かもしれんが
WebBluetoothは非対応だから細かい操作は
Bluetoothの対応プロファイルによるって感じかな
# キーボードのショートカット割り当て使って強制的にBluetooth有効化できたりして
まずいにゃー (スコア:0)
外部ネットワークに物理的に繋げてないから安全だよ検証の時間無いからセキュリティパッチ当ててないよ戦法に、BTでマウスを動かしているノートパソコンが!
Re: (スコア:0)
Armisの脆弱性検証アプリに、近場の脆弱なデバイス検出機能があるので
それをONにして、社内うろついてますわ
影響の大きさや高い危険性の割に騒がれないな (スコア:0)
新聞の一面どころか政府が警鐘テレビCM打っていいレベルの危機だと思うんだけど
Re: (スコア:0)
おちついて。深呼吸しましょう。