Android 所有者でワイヤレス ヘッドフォンやイヤフォンを使用している場合は、少し取り外して音を聞いてください。WIRED が最初に報じたように、ソニー、JBL、Anker、Sonos、さらには Google 自体などの評判の高いブランドの何百万ものオーディオ デバイスが現在、ハッカーに会話を盗聴されたり、位置情報を追跡されたりする可能性がある重大なセキュリティ脆弱性に直面しています。穴をふさぐ方法はいくつかありますが、そのためにはいくつかの困難を乗り越える必要があります。
この脆弱性はベルギーのルーヴェン大学コンピュータセキュリティおよび産業暗号化グループによって最初に発見され、「WhisperPair」と呼ばれている。これは Android のファスト ペア機能を利用しており、近くの AirPods ケースを開いたときに iPhone の画面にポップアップ表示されるのと同じように、近くの Bluetooth デバイスにワンタップで便利に接続できます。残念ながら、研究者らによると、悪意のある攻撃者がペアリング プロセスを実質的にハイジャックし、携帯電話やタブレットに接続したままオーディオ デバイスに隠しウィンドウを与えてしまう可能性があることが判明したそうです。
「あなたはヘッドフォンをつけて通りを歩いていて、音楽を聴いています。15秒以内にあなたのデバイスをハイジャックできます」とルーヴェン大学の研究者サヨン・ドゥタグプタ氏は『WIRED』に語った。
OK、ハッカーがあなたのヘッドフォンで盗聴することができます。大騒ぎ。しかし、はい、実際には。確かに大騒ぎです。
ハッカーがオーディオ デバイスとペアリングすると、それを使用してマイクを盗聴したり、スピーカーから聞こえるプライベートな会話を盗聴したり、任意の音量で自分の音声を再生したり、デバイスが Google Find Hub をサポートしている場合は、位置情報を追跡したりすることもできます。
私にとっては最後の脆弱性が最も懸念されますが、ハッカーにとってはそれを成功させるのが最も難しいものでもあります。現時点では、Google Pixel Buds Pro 2 と 5 つのソニー製品でのみ文書化されており、以前に Android デバイスに接続したり、Google アカウントとペアリングしたりしていないことが必要です。
それでも、位置追跡がない場合でも、ハッカーにとって家の中のマイクに常に基本的にアクセスできるのは理想的ではありません。
研究者らは Google に連絡し、Google は一連の推奨修正を提案してくれました。しかし、問題はここにあります。これらの修正はアクセサリ メーカーが個別に実装する必要があり、おそらく手動でインストールする必要があるのです。
どのように見えるかは、お使いのデバイスによって異なります。例えば、JBLは『WIRED』に対し、脆弱性を解消するために無線アップデートの配信を開始したと語った一方、ロジクールは「今後の生産ユニット用のファームウェアパッチを統合した」と述べた。 Lifehacker は、影響を受ける製品を所有する他の企業に連絡を取っているところです。連絡があり次第、この投稿を更新します。
デバイスの修正が公開されたときに確実に入手できるように、WhisperPair を発見した研究者は、対応するアプリをダウンロードすることを提案しています。これは、最近ではほとんどのオーディオ デバイスが提供しているものです。 「(ソニーのアプリを)持っていなければ、ソニーのヘッドフォンのソフトウェアアップデートがあることを決して知ることはできません」とルーヴェン大学の研究者セッペ・ウィンズ氏は『WIRED』に語った。
プラスの面としては、影響を受ける Google オーディオ デバイスを所有している場合は、問題がないことです。同社はすでに修正プログラムを送信していると述べています。残念ながら、Google は魔法ではありません。同社はまた、製造元がアップデートしたかどうかに関係なく、すべてのデバイスの位置追跡の脆弱性をブロックするために Find Hub をアップデートしようとしたとも述べた。残念ながら、ルーヴェン大学の研究者らは、その画一的な修正を数時間以内に回避できたと述べた。
残念ながら、ファスト ペアを無効にすることはできないため、デバイスのメーカーが独自のアップデートを公開するまでは脆弱な状態になります。研究者らによると、オーディオデバイスを出荷時設定にリセットすると、すでにペアリングしていたハッカーを排除できるため、その間に異常な動作に気付いた場合に押すことができるパニックボタンがあります。残念ながら、今後も新たなハッカーに対して脆弱なままです。
明るい面としては、ここでの懸念はかなり現実的だが、Google は心配する必要はないと述べている あまりにも まだずっと。同社は『WIRED』に対し、「このレポートの研究室環境以外で悪用された証拠は見つかっていない」と語った。これは、問題の研究者たちがWhisperPairを発見した最初の人物である可能性があることを意味するが、研究者自身は他社デバイスのオーディオハイジャックを観察するGoogleの能力に疑問を抱いており、研究者自身はもう少し慎重になっている。
その点で、これを読んでいるあなたが独善的な iPhone ユーザーであるとしても、それほど安心する必要はありません。WhisperPair はあなたにも影響を与える可能性があります。脆弱性によってそれができない一方で、 発生する Apple デバイスの場合、Android ですでにハッキングされたデバイスを iPhone または iPad に接続した場合、同じ状況になります。
すべてのデバイスのセキュリティを即座に強化する簡単なソリューションを提供できればよかったのですが、残念ながら、WhisperPair から安全を保つには、特にデバイスのメーカーからのアップデートに注意する必要があります。 WhisperPair の脆弱性が影響するかどうかを確認するには、研究者の Web サイトにアクセスし、デバイスを検索してください。製造元、脆弱性があるかどうか、脆弱性を埋めるためにどのような手順を実行できるかが表示されます。検索バーの下に最初に表示される短いリストには、脆弱なデバイスがすべて含まれているわけではないので、そこに自分のデバイスが表示されないからといって安全だと考えず、まず検索してください。