Sponsored Contents

Securityの最新記事

Image credit:
Save

Amazon Echo使ったリモート盗聴手法、ハッカーが発見。ただし悪用の可能性は低め

ホテルなどでは注意

Munenori Taniguchi, @mu_taniguchi
2018年8月13日, 午後02:00 in Security
95シェア
12
83
0

連載

注目記事

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

Ittousai, 8月13日
View

ノートPCやスマートフォンについて回るセキュリティのリスクとして、まず思いつくのがカメラやマイクを使った盗撮/盗聴。日頃のセキュリティ対策をきちんとしておかなければ、何らかの脆弱性を突くマルウェア(を含むアプリ)によって、知らぬ間に日常生活を見聞きされてしまう可能性も、ゼロではありません。

一方、普及機運が高まりつつあるスマートスピーカーの類には、これまでセキュリティに関する問題はあまり聞かれませんでした。しかし、こちらもインターネットにつながるマイクつきスピーカーである以上、悪意あるハッカー(クラッカー)に狙われるのは時間の問題...と思っていたところへ、Amazon Echoを使った盗聴に成功したという話が舞い込んできました。

中国のハッカーグループは、第2世代Amazon Echoが備えるWebインターフェースの脆弱性と既知の問題を利用し、同じWiFiネットワーク内にある複数のEchoを連鎖的に乗っ取る手法を編み出したとのこと。

実際にこの手法を適用するには、まず最初の1台のEchoのファームウェア改ざんが必要であり、そのためには本体のフラッシュメモリ・チップを取り出して管理者権限を奪取し、ふたたび本体内にはんだ付けしなければならないとのこと。

これだけの作業があると、実質的にすぐに悪用するというのは不可能なはずです。ただ、もしうまくいったならば、この改変Echoは同じネットワーク内のEchoスピーカーを、クロスサイトスクリプティング、URLリダイレクション、HTTPS(SSL)ダウングレード攻撃といった既知の脆弱性を使って連鎖的にのっとります。その結果マイクの盗聴や、好き勝手な音楽を再生させるといったことを可能にします。

もし、各部屋にAmazon Echoを置いている家なら、誰かを招き入れた際にどれかひとつのEchoが入れ替わっていたとしても気づかない可能性もあるかもしれません。また正規業者でないところに修理を依頼して返ってきたスピーカーが改変されていたなどということも起こる可能性は否定できません。

幸いにもハッカーグループはすでにアマゾンに問題を報告済みであり、アマゾン側もすでに対策アップデート配布済みと説明しています。したがって実際にこの手法による攻撃、盗聴被害を受ける人はいないはずなので、Echoユーザーの方々は一安心といったところ。

とはいえ、この事例はスマートスピーカーでさえ悪意あるハッカーに操られる可能性があることを知らしめるものです。最近ではホテルの客室にもスマートスピーカーを置いてサービスを展開するところもありますが、リスクはどこにでも存在することは知っておいて損はありません。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

Via: Wired
Source: Def Con
95シェア
12
83
0

Sponsored Contents