Last Updated on 2024-06-26 20:35 by 荒木 啓介
Appleは、悪意のあるアクターが不正にヘッドフォンにアクセスできる可能性があるAirPodsのBluetooth脆弱性に対するファームウェアアップデートをリリースしました。この認証問題は、CVE-2024-27867として追跡され、AirPods(第2世代以降)、AirPods Pro(全モデル)、AirPods Max、Powerbeats Pro、Beats Fit Proが影響を受けます。Appleによると、ヘッドフォンが以前にペアリングされたデバイスの接続要求を求めている際に、Bluetooth範囲内の攻撃者が意図したソースデバイスを偽装してヘッドフォンにアクセスできる可能性があります。この脆弱性を悪用することで、物理的に近くにいる敵がプライベートな会話を盗聴することができます。この問題は、改善された状態管理によって対処されました。この脆弱性を発見し報告したのは、ジョナス・ドレスラーです。AirPods Firmware Update 6A326、AirPods Firmware Update 6F8、Beats Firmware Update 6F8の一部として修正されました。
また、AppleはvisionOS(バージョン1.2)のアップデートを展開し、WebKitブラウザエンジンの7つの欠陥を含む21の欠点を解決しました。そのうちの1つは、Webコンテンツの処理時にサービス拒否(DoS)を引き起こす可能性がある論理的な欠陥(CVE-2024-27812)であり、改善されたファイル処理によって修正されました。セキュリティ研究者のライアン・ピックレンがこの脆弱性を報告し、ユーザーの操作なしに任意の数の3Dアニメーションオブジェクトを部屋に強制的に表示させることができる「世界初の空間コンピューティングハック」として説明しました。この脆弱性は、ARKit Quick Look機能を使用して被害者の部屋に3Dオブジェクトを生成する際に、Appleが許可モデルを適用しなかったことを利用しています。さらに悪いことに、これらのアニメーションオブジェクトはSafariを終了した後も別のアプリケーションによって処理されるため、持続します。ピックレンによると、このアンカータグが「クリック」された必要はなく、「プログラムによるJavaScriptクリック(例:document.querySelector(‘a’).click())」でも問題なく機能するため、ユーザーの操作なしに任意の数の3Dアニメーションオブジェクトを起動できます。
【ニュース解説】
Appleは最近、AirPodsおよび関連するBeats製品のBluetooth脆弱性に対処するためのファームウェアアップデートをリリースしました。この脆弱性は、攻撃者がBluetoothの範囲内からユーザーのデバイスに不正にアクセスし、プライベートな会話を盗聴する可能性があるというものです。CVE-2024-27867として識別されたこの問題は、AirPods(第2世代以降)、AirPods Pro(全モデル)、AirPods Max、Powerbeats Pro、Beats Fit Proに影響を及ぼします。Appleは、この問題を改善された状態管理によって対処しました。
この脆弱性の発見と報告は、セキュリティ研究者のジョナス・ドレスラーによるものであり、Appleは迅速に対応して修正を行いました。この事例は、ワイヤレスデバイスとその接続技術のセキュリティが、常に新たな脅威にさらされていることを示しています。Bluetooth技術は広く利用されているため、このような脆弱性は多くのユーザーに影響を与える可能性があります。
このアップデートにより、ユーザーは自分のデバイスが安全に保たれ、プライバシーが守られるようになります。しかし、この事例は、デバイスのファームウェアを常に最新の状態に保つことの重要性を改めて強調しています。ユーザーは、セキュリティアップデートが提供された際には速やかに適用することが推奨されます。
また、AppleはvisionOSのアップデートも行い、WebKitブラウザエンジンを含む複数の脆弱性を修正しました。これらの脆弱性の中には、ユーザーの操作なしに3Dアニメーションオブジェクトを部屋に表示させることができるものも含まれており、これらの修正により、ユーザーのデジタル環境がより安全になります。
このようなセキュリティ対策は、ユーザーのデータ保護とプライバシーを守るために不可欠です。しかし、技術の進化と共に新たな脅威が現れるため、企業とユーザー双方が警戒を怠らず、セキュリティ対策を常に更新し続ける必要があります。この事件は、セキュリティが継続的な取り組みであることを再認識させる良い例です。
from Apple Patches AirPods Bluetooth Vulnerability That Could Allow Eavesdropping.
