Sonos製スマートスピーカーに深刻な脆弱性、盗聴の危険性

画像提供：マイナビニュース

Sonosはこのほど「Security Advisory: 2024-0001」において、同社のスマートスピーカーに複数の深刻な脆弱性があることを伝えた。これらの脆弱性が悪用された場合、ユーザーの音声が攻撃者に盗聴されてしまう可能性がある。

○報告されている脆弱性

報告されている脆弱性は次のとおり。

CVE-2023-50809 - ワイヤレスドライバーでWPA2 4ウェイハンドシェイクのネゴシエーション中に情報要素を適切に検証されない欠陥。この欠陥によりリモートコードが実行される可能性がある

CVE-2023-50810 - ファームウェアのU-Bootコンポーネントに存在する脆弱性。Linuxカーネル特権による永続的な任意のコードが実行される可能性がある

CVE-2023-50809はMediaTekが製造したサードパーティー製チップセットのワイヤレスドライバーに問題があったとされ、CVE-2023-50810はLinuxカーネルのコマンドラインパラメーターが上書きされ、最終的にセキュアブートの実装がバイパスされる可能性がある問題とされている。

○影響を受けるプロダクト

脆弱性の影響を受けるとされるデバイスバージョンは次のとおり。

Sonos S1 11.12より前のすべてのバージョン
Sonos S2 15.9より前のすべてのバージョン

脆弱性が修正されたデバイスバージョンは次のとおり。

Sonos S2 15.9およびこれ以降のすべてのバージョン

影響を受けるSonosスピーカーを使用しているユーザーはこれらの脆弱性が悪用される可能性があるため、ソフトウェアのバージョンを確認するとともに速やかに最新版にアップデートすることが推奨されている。
（後藤大地）