脆弱性】Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚 Androidで2017年9月以降のアップデート、iOS9.3.5以降なら安全 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚 〜Bluetoothがオンになっているだけで攻撃可能 - PC Watch
http://pc.watch.impress.co.jp/docs/news/1080650.html
佐藤 岳大2017年9月13日 15:04
IoTセキュリティ企業の米Armisは、Bluetooth(以下BT)の脆弱性を突いた攻撃「BlueBorne」について情報を公開した。
BlueBorne攻撃では、BTを経由してデバイスの完全な制御が可能で、PCやスマートフォン、IoTデバイスなどに大きな影響を与えるとしている。具体的には、リモートコードの実行や中間者攻撃などによるサイバースパイ、データの盗難、ランサムウェアの感染、WireXやMiraiボットネットのように、モバイルデバイスやIoTデバイスで巨大なボットネットを作成するといったことが可能となるとしている。
ArmisではBlueBorneに関連した8つのゼロデイ脆弱性を発見しており、すでに攻撃が行なわれている可能性もあると指摘。発見された脆弱性は理論上のものではなく、実際に攻撃が可能なものであるほか、BTを使用するさまざまなプラットフォームで、さらなる脆弱性が発見されるとの見解を示している。
(中略)
具体的には、Androidであれば、Google Pixel、Samsung Galaxy/Galaxy Tab、LG Watch Sportなど、OSバージョンによらない全デバイス(ウェアラブルデバイスなどBT Low Energyのみを使っているものは除く)が、リモートコードの実行(CVE-2017-0781/CVE-2017-0782)、情報漏洩(CVE-2017-0785)、中間者攻撃(CVE-2017-0783)の4つの脆弱性の影響を受ける。
GoogleはすでにAndroid 6.0(Marshmallow)および7.0(Nougat)向けにセキュリティ更新プログラムを提供し、パートナー企業に通知しており、Androidデバイスは9月9日付けのセキュリティパッチが適用されていれば前述の脆弱性に対策された状態になる。
Armisでは「Armis BlueBorneスキャナ」アプリをGoogle Playで提供しており、インストールすることでデバイスが危険にさらされているかを確認できるとしている。
(中略)
iOSでは、バージョン9.3.5以下の全iPhone/iPad/iPod touch、およびバージョン7.2.2以下のAppleTVで、リモートコード実行の脆弱性の影響を受ける。脆弱性はiOS 10ですでに対策されているため、新たなパッチのインストールを行なう必要はないことから、Armisでは最新版OSに更新することを推奨している。
(全文はソース) >>83
>iOS11になる前に
9/20にiOS11なので、早く決断すること iOS11だがBTが勝手にオンになるよな?
これに感染してるんかな?
未開のゼロデイやろけ? Android使ってる人ってお年寄りとかおっさんだろ?
Bluetooth なんて使って無いんじゃ? >>152
ほほー。自家用車で慣れてれば便利そうだね
>>150
3台ぐらい使って全部生身だけど一度もなったこと無いなあ
画面消し忘れてポケットの中で動き続けてたことはあるけど
近接センサとかその辺の不具合かも? この話の本当にこわいところは
見つかったバグが本当にしょうもないレベルなんで
他にもまだいっぱい残ってるんじゃないかと
標準として使われてるBTスタックの品質が疑われること
大丈夫かねほんとに BTにセキュリティが無いも同然というのは知ってた。 >>146
人が多いところにいってみよう。
たとえば電車に乗車していると、いかにBluetoothのスイッチがONになっているのかがわかる。 >>164
スピードと省電力と手軽さだけを追求してっからな
その辺無いならwifiで良いんだし >>160
美人と美少女が使うイメージなのがXPERIA
おっさん専用がiPhone
おっさんも使うのが泥端末
意識計がかくやくすまほつかい >Androidデバイスは9月9日付けのセキュリティパッチが適用されていれば前述の脆弱性に対策された状態になる
ポケモンGOで位置偽装してる奴ら、涙目w これって赤外線通信なら大丈夫ってこと?
俺のスマフォ赤外線通信あるが Bluetoothって息の長いifだな
ワイヤレスUSBやIrDA、FireWireなんてディスコンなのに >>163
それいうならLGのバックドアも怖いがな
他の機種や最新機種は大丈夫なのかと 仕組みは良く分からんが、オールマイティな仕様に不安を感じて、
バイオスで無効化してたのは正しかったのか
オールマイティな仕様はセキュリティリスクと表裏の関係にあるからな >>169
Bluetoothはスピード二の次の規格だろ >>178
有線でもバックドアはあったぞ
ロックかけた窓端末をとなりから解除してみせた。 >>175
使い物になり始めてから10年経ってないし
ワイヤレスUSBは最初から終わってたけど AQUASは大丈夫かいのう?
まぁBT使ってないのだけどね この際ipadをすっからかんにしたいのだが
外付けusbメモリに転送するアプリでデータ取られる危険が低いのがどれか教えてくれくださいエロい人たち カーオーディオとポータブルスピーカーでbt使いまくりだわ >>173
IrDAついてるスマホってTreoか?
>>174>>179
繋がるまでの時間はそこそこ速いんじゃなかったっけ >>129
体組成計のデータの取り込み。
スマホのアプリでデータ管理できる。 ブルートゥースの届く距離考えれば周囲に誰もいない田舎じゃ大丈夫だよな?
都会のターミナル駅で乗っ取りやられたらアウトだと思うけど・・・ >>143
Googleからは既に各メーカーやキャリアに提供済みだと知ってんの? >>188
ああ、スマートウォッチとかの類もBTだっけ
最近のは安いのでも単体でGPSとか載ってて便利そうよな
健康には興味ないけどバイブで目覚まし使えるんじゃないかとちょっと欲しい >>6
2017年7月1日w
端末が2015年7月だか8月だかに出た奴だから最新アップデートは期待していないW これってもう何年も前に警鐘ならされてた気がするが気のせいか?
基本アップデートが無いファーウェイとかは数ヶ月以内に全滅の可能性あり アカウント乗っ取りで、身代金払わないと
クラウド上匿名サイトでメールとかLINEのメッセージとか
プライベートな中身全公開とか
ヤバそうだなあ >>6
7/1なんだが更新ボタン押してもアップデートの必要はありませんだって iOS9.3.5以下って相当昔だな。3年前くらいのOSだわ。
それに比べAndroidって酷いなww
GOOGLEがわざと放置してる脆弱性なんじゃねえの?w >>202
新しい機種を買わせるために古いのは放置で、が裏方針だとかw 泥でパッチ提供されるのって、最新機種かGoogle謹製端末くらいだろ
気にすんな
ダメな時は皆んな一緒だ >>198
スマホはハードウェア寿命からも2〜最長7年くらいが買い替えサイクルだろうが…
なによりもOSの更新期間に依存するな。
そう考えると格安のスマホは最新機種を買って最長2年くらいの短い期間で次々に買い替えるのが妥当な使い方だ。 Nexus2013 Android6.0.1で見てみたが、来てねーぞ >>210
アップルにないとは、誰も言って無いような んなことより、内のPlayStation4は平気なの?!
こっちのが心配 しかし6月1日とか7月1日とかみてると、
何故かわたぬきを連想してしまう >>207
で??
せめて的を射た発言くらいしてくれ
BTは有効距離は短いがセキュリテイがかなり甘く突破口に最適という話は何年も前からあるが大した対策は
最近までされていなかった。
2017年9月以降のアンドロイドのスマホに切り替えた、またはアップデート出来た人が現在どれだけいるか。
ちなみにファーウェイのスマホにアップデートの概念はない。 Bluetoothヘッドフォンから女の喘ぎ声が聞こえるのはこいつが原因か bluetoothなんて不便な規格使ってる奴いるんだ >>218
無線ヘッドフォンで使ってる人多いよ
駅近辺でしらべてみ Bluetoothなんて糞もう使ってない
すぐに干渉する糞システム
ロジクールのunityの方が安定してる >>221
低速デバイスのワイヤレス実現
この目的で合理、最適解なのは、確かにそれだよな。 ただ、俺はキーボードには妥協しないから、キーボードはUSB
(でも今はbitFerrousというメーカーのキーボード使っています)
リアルフォースは味噌汁溢して、基盤を溶かしました 必要な機能以外、常にOFFにしている俺に隙はなかった
パッチレベルは2017年7月だた >>214
いまんとこBTが原因で乗っ取られた云々って話は聞かないが
ps4自体、BTのセキュリテイを心配するレベルにないわけだが
もっとも、乗っ取っても大した価値があるとは思えなかったり 大事なことなので脱線するが、
キーボードとマザーボードに味噌汁は絶対にダメ。厳禁。禁止
砂糖もダメだが味噌汁は即死 アンドロイド7になっちゃうからアップデート控えてんのに、
こりゃやらなきゃまずいかなー、BTのヘッドセットいつも使ってるし 反日企業のGoogle社のAndroidはヤバいんだな
LINE入れてもヤバいんだな
ハッカー:「Android使ってる奴らのデータを抜くぞ」
Android利用者:「データを抜かれた〜」
ハッカー:「Androidを使ってる貧乏人のデータはやっぱり価値がなかった」
Android利用者:「データ抜かれたらどうしよう」←? >>227
二つある。
1.BT経由のチート
2.勝手に購入
まあスマホに比べたら微々たる懸念 >>232
シェア多いから泥赤でフェイクアプリ購入とかはあるかな >>201
キャリアの更新準備が遅れてる 機種によっては毎月の定例アップデートすらなくなる 糞ドコモさっさと対策しろよ。ぼったくりの役立たずめが。 Androidって先月もDDoS攻撃の踏み台にするマルウエア入りアプリが大量に撒かれてるの発覚してただろw >>12
Appleの方が勝手にAppleがやってくれるからユーザーは意識しなくて良いから、気にしてる人少ないと思うんだけどなあ 泥は2度と買わない
一年経たずにOS更新が止まるってどういう事だよ パソコンみたいにどんどんアップデートするようにしてよ アップデートがほしいと思うのになぜNexusやPixelを選ばないのか Bluetoothでどうやって相手側から繋げられるん? >>242
マイクロソフトは世界中の企業ユーザーに叩かれ続けた結果今がある
一方のコンシューマー相手のAndroid関連企業はユーザーなめてるから期待はできない この前Googleから新しい端末からログインがありましたってメールが来た
慌てて10桁から14桁に変えたけどどこかで漏れてるのかねやはり Bluetooth便利だからカーコンポと自動ペア設定して使ってる
スマホに入ってる数百曲の音楽が聴けるからかさばるCDとかいらんしね
電話もコンポの液晶パネルタッチで繋がるスマホ触らなくてハンズフリーでOKなのは楽
しかしXperiaXZのAndroid7.1すらアプデがぜんぜんこないからそろそろ青葉切ろうか考え中 >>247
古い端末初期化せずそのままにして使ったとか? というか米企業の開発したOS搭載したデバイス使ってる時点で
何もかも筒抜けやろ、バックドア利用できる連中は限られてるだろうが
大事なデータや見られたらまずいものはネット環境から遮断しておく以外に
漏洩を防ぐ手立てはない >>202
windowsも今月のセキュリティパッチなんだが…
appleが対応早かったのは、bluetoothのスタックを刷新してたまたま大丈夫だったんじゃない?
気づいていたなら共有すべき情報だし 安スマホだがBluetoothオフできた
見直したわ >>104
関心なくてSIMフリーあるのかどうかもわからん さっそく、「Armis BlueBorneスキャナ」なるアプリをダウンロード、インストールしてなにかおかしなことになっていないか試してみた。
《あなたの端末は脆弱だぞ。最新のセキュリティのものにアップデートするか、つくったメーカーに連絡したらどうかね》と怒られてしまった。 実装がどうこうじゃなく、Bluetooth自体の脆弱性か
対象はVerいくつ以降だろう ■ このスレッドは過去ログ倉庫に格納されています