BlueBorne漏洞也影响2000万亚马逊Echo和谷歌家庭设备

翻译：360代码卫士团队

物联网网络安全公司Armis宣布称，超过2000万台运行安卓和Linux系统的亚马逊Echo（“回声”）和谷歌家庭设备易受BlueBorne漏洞的影响。亚马逊和谷歌均已为受影响产品发布补丁。

BlueBorne是对存在于部署在安卓、iOS、微软和Linux系统上的蓝牙中存在的8个漏洞的总称。受影响的操作系统厂商和多家物联网设备制造商已在9月中旬发布补丁。BlueBorne能让攻击者接管已启用蓝牙的设备并在底层操作系统或固件中运行恶意代码。

关于BlueBorne漏洞的消息中并未提及个人家庭助手易受攻击，尽管攻击者能够结合一些线索推断出可攻击依赖蓝牙通信的大规模设备。Armis公司在首次披露时已提到这一点。

目前Armis披露称，成功利用了亚马逊和谷歌依靠声音激活的智能数字助手。亚马逊Echo易受CVE-2017-1000251和CVE-2017-1000250漏洞的影响，而谷歌家庭设备易受CVE-2017-0785的影响。

研究人员指出，在使用Armis物联网网络安全防御平台的公司中，82%的公司网络中也存在亚马逊Echo设备。

专家目前告警企业修复亚马逊Echo和谷歌家庭设备来阻止攻击者接管易受攻击的设备并利用BlueBorne漏洞记录周边会话或者用于实施其它更危险的入侵活动。亚马逊Echo的修复版本是v591448720。谷歌家庭设备目前尚不存在打补丁版本。

Spiceworks公司在2016年开展的一项调查研究显示，几乎一半的受访IT专业人员在使用语音助手或打算在未来三年内购买一台类似设备。

今年9月份，Armis公司发布了一款安卓app用于扫描易受BlueBorne攻击的设备，随后在GitHub上发布了一个PoC利用代码供安全研究员测试个人或工作设备是否易受影响。

阻止BlueBorne攻击的最简单方法是修复设备或者禁用蓝牙功能。

  BlueBorne漏洞影响逾53亿台蓝牙设备

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.bleepingcomputer.com/news/security/blueborne-vulnerability-also-affects-20mil-amazon-echo-and-google-home-devices/