Свыше 20 млн устройств Amazon Echo и Google Home, работающих под управлением ОС Android и Linux, уязвимы к атакам с эксплуатацией набора уязвимостей, получивших общее название BlueBorne.
О проблеме BlueBorne стало известно в середине сентября нынешнего года. Как сообщили тогда исследователи из компании Armis, уязвимости затрагивают реализации Bluetooth в более чем 8 млрд устройств по всему миру.
Для эксплуатации проблем злоумышленнику не требуется ни взаимодействие с пользователем, ни сопряжение с целевым устройством. Единственное, что необходимо – это включенный Bluetooth. Уязвимости содержатся в реализациях Bluetooth в Android, iOS, Windows и Linux, затрагивая практически все типы устройств, от смартфонов до IoT-гаджетов и «умных» автомобилей. Изначально эксперты Armis не упоминали в своем исследовании голосовые помощники, но оказалось, что проблема распространяется и на них.
Исследователям удалось успешно проэксплуатировать уязвимости CVE-2017-1000251 и CVE-2017-1000250 в колонке Amazon Echo и CVE-2017-0785 в Google Home и получить контроль над виртуальным ассистентом.
По данным Armis, 82% компаний используют устройства Amazon Echo и Google Home в своих сетях. Хакеры могут перехватить управление уязвимыми гаджетами и использовать их для записи разговоров находящихся поблизости сотрудников либо как отправную точку для других атак. Эксперты проинформировали производителей об уязвимостях. Обе компании уже выпустили патчи, устраняющие проблему.