SonosとBoseのコネクテッドスピーカーはハッカーにアクセスされて勝手に曲が鳴る

Trend Microの研究員たちが、SonosとBoseのスピーカーに、リモートアクセスされてしまう脆弱性を見つけた。それを最初に報じたWired誌の記事によると、Sonos Play:1, Sonos One, Bose SoundTouchの3機種には、ハッカーにアクセスされ、音楽を再生されてしまう危険性がある。

今のところ、悪ふざけのようなアクセスがほとんどだが、研究員たちはもちろんその脆弱性を利用して彼らの好きなRick Astleyの曲を鳴らし、近くにあるAlexa対応デバイスに命令していたずらをした…South Parkのように。またSonosのフォーラムには、ドアが軋る音や赤ん坊の泣き声やガラスの割れる音が大音量で鳴った、というユーザーのおそろしい報告が載っている。

しかしその脆弱性のあるシステムの数は、比較的限られている。被害の生じた機種のスピーカーの数はSonosが2000から5000、Boseは500足らずだ。Sonosのスポークスパーソンはこう語った: “今詳しく調べているが、被害に遭ったのはユーザーが構成を間違えたネットワークで、そういうごく少数の顧客のデバイスが、一般的に公開されているネットワーク上に露出したのだろう。そんなセットアップを、弊社が顧客に勧めているわけではない。とりあえず、心配なお客さんは、Sonosのシステムが確実に、安全な内部ネットワーク(LAN)上にセットアップされているように、していただきたい”。

Sonosは、この穴を塞ぐパッチも発行した。Boseからはまだ、公式の応答はない。

Trend Microのコメントも、やはりネットワークへの接続を、スピーカーのデフォルトの設定とともに問題視しているようだ。同社の調査部長は曰く、“不運なのは、これらのデバイスが接続されるネットワークが、根拠もなく信頼されていることだ。ネットワークの状況を、もっと詳しく知る必要があるね。現状では、デバイスをハックしたり、ネットワークの構成が不注意だったら、誰もがスピーカーにアクセスして、音をコントロールできる”。

単なる悪ふざけで終わってしまう可能性もあるが、でもこれを機に、あなたの家のインターネットに接続されたすべてのデバイス(“コネクテッドデバイス”)が安全であることをチェックしてみたらどうか。今はとくに、誰もが、いわば自分のプライバシーを犠牲にして、家庭内のスマートデバイスを次々と増やしている状況だからね。その中には当然、カメラや常時onのマイクロフォンがついたのも、あるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AdobeがまたまたFlashのゼロデイホールを修復…まだ実害の報告はないが

ht-exploit-580x430

多くの企業にベストプラクティスがあるが、連邦政府や州政府のお役所にハッキングツールを売ってきた“コンピュータセキュリティのエキスパートの集団”Hacking Teamも、その例外ではない。同社の情報データベースにはおもしろいハッキングティップがいろいろ載っていて、その中にはAdobe Flashのまだパッチされてないゼロデイホールへの言及もある。Adobeは目下、その穴を閉じる工事をやっている。

セキュリティ研究家のBrian Krebsが数日前にそのドキュメントを、ハッカーたちがリークしたデータの山の中に見つけた。Hacking Teamが概念実証のためにやってみた攻撃は、WindowsやOS Xのカリキュレーター(電卓)を開く、といういたずらだが、もっと悪質なバージョンもある、とそのドキュメントには書かれている。

Adobeは今日(米国時間7/8)、Security Bulletin CVE-2015-5119をポストして、今その穴を塞ぐ作業をしている、と述べている。

セキュリティ企業のTrend Microは、“現時点ではユーザはこの脆弱性についてそれほど心配する必要はない。実際の犯行はまだ発見されていない。今後は必要に応じて、このポストの内容を更新していく”、と述べている。しかしHacking Teamがこの脆弱性の新たな悪用の方法を発見したかどうか、それがまだ明らかでない。

ひとつだけはっきりしているのは、Flashを無効にした方が良さそうだ、ということ。Krebsは曰く、“疑問の余地なくAdobe Flash Playerは攻撃者の主要なターゲットの一つだ。AdobeがFlash Playerのゼロデイ欠陥を修復する緊急アップデートを発行するのは、この数か月間で今回が7度目だ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa