Bluetoothに脆弱性報告。ソリューションはまだない模様

  • author Shoshana Wodinsky - Gizmodo US
  • [原文]
  • Rina Fukazu
Bluetoothに脆弱性報告。ソリューションはまだない模様
Image: shutterstock

問題の名は「BLURtooth」。

Bluetoothの脆弱性に関しては以前から度々指摘されてきましたが、最新の研究によるとまた新たな脅威があることが報告されました。スマホなどからスピーカなどのBluetooth対応デバイスに接続する際に、AndroidとiOSの両方が使用するプロトコルが乗っ取られるリスクがあり、それによりスマホ内のBluetoothを使用するアプリやサービスへのアクセスを許可することが可能になると伝えられています。研究はBluetooth Special Interest Groupによって行なわれ、さらにカーネギーメロン大学の研究により裏付けられています。

第三者が独自鍵の取得や暗号化を弱めることも可能

このプロトコルはCross-Transport Key Derivation(略してCTKD)と呼ばれるもの。たとえばiPhoneがBluetooth使用機器とペアリングする準備ができると、CTKDは2種類の認証キー(ひとつは「Bluetooth Low Energy」デバイス用、もうひとつは「Basic Rate/Enhanced Data Rate」規格対応デバイス用)をセットアップします。デバイスが異なると、スマホが必要とするデータ量やバッテリー電力も異なります。大量のデータを必要とするBluetoothデバイス(Chromecastなど)に必要なものと、少量のデータで済むもの(スマートウォッチなど)の切り替えが早いほど、効率がよいとされています。が、安全性を損なうこともあります。

今回の研究によると、スマホがこれら両方の規格に対応していて、ユーザー側で何らかの認証や許可を必要としない場合、Bluetoothの範囲内にいるハッカーは、CTKD接続を使用して独自の鍵を取得することができるといいます。これにより暗号化を弱めることもでき、スマホ所有者はさらなる攻撃に晒されたり、スマホのアプリやサービスによって送信される、保護されていないデータを盗み見されたりする可能性があります。

いまのところ特に被害はなし

これまでのところ、この問題による被害報告は明らかになっていません。Bluetooth Special Interestチームは、今回発覚した脅威についてデバイスベンダーに報告しているほか、脆弱性を懸念する人に対してはBluetooth 5.1以降の場合、CTKDに対する制限を使用することを提案しています。Bluetooth 4.0、5.0対応デバイスを使用している人に関しては、デバイスを保護する唯一の方法はペアリングする環境に注意を払うことだといいます。

現在のところセキュリティパッチの配布に関するタイムラインは明らかになっていないため、Bluetoothの利用環境に注意しましょう。

    あわせて読みたい