По словам инженеров-программистов компании SkySafe, занимающейся технологиями дронов, многолетняя уязвимость обхода аутентификации Bluetooth позволяет злоумышленникам подключаться к устройствам Apple, Android и Linux и вводить нажатия клавиш для запуска произвольных команд. Марк Ньюлин, который обнаружил уязвимость и сообщил о ней Apple, Google, Canonical и Bluetooth SIG, сказал, что уязвимость, отслеживаемая как CVE-2023-45866, не требует какого-либо специального оборудования для использования, и атаку можно выполнить на машине Linux с помощью обычного адаптера Bluetooth.

Ньюлин сказал, что предоставит подробную информацию об уязвимостях и код для проверки концепции на предстоящей конференции, но надеется подождать, пока все уязвимости не будут исправлены. Эта атака позволяет злоумышленнику, находящемуся поблизости, вводить нажатия клавиш и выполнять вредоносные действия на устройстве жертвы, если эти действия не требуют пароля или биометрической проверки.

В сообщении на GitHub, опубликованном в среду, охотник за ошибками описал уязвимость следующим образом:

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

«Эта уязвимость заключается в том, что конечный автомат узла Bluetooth обманным путем вынуждает соединиться с поддельной клавиатурой без подтверждения пользователя. Базовый непроверенный механизм сопряжения определен в спецификации Bluetooth, и реализованная уязвимость может сделать этот механизм доступным для злоумышленника».

Ньюлин обнаружил аналогичный набор уязвимостей Bluetooth в 2016 году. Уязвимости, получившие название «MouseJack», используют уязвимости, связанные с внедрением нажатия клавиш в беспроводных мышах и клавиатурах 17 различных производителей.

Однако CVE-2023-45866 появился раньше MouseJack. Ньюлин сказал, что он протестировал BLUDASH 3.5 под управлением системы Android 4.2.2, выпущенной в 2012 году, и обнаружил, что в ней есть эта уязвимость. На самом деле для Android 4.2.2-10 исправлений нет.

Google сделал Ньюлину следующее заявление: «Исправления этих проблем, затрагивающих Android 11–14, доступны затронутым OEM-производителям. Все поддерживаемые в настоящее время устройства Pixel получат исправление через декабрьское OTA-обновление».

Ниже приведены подробности, опубликованные в рекомендациях по безопасности Android, где уязвимость оценивается как крайне критическая.

https://source.android.com/docs/security/bulletin/2023-12-01

Хотя проблема была исправлена ​​в Linux в 2020 году, Ньюлин сказал, что ChromeOS — единственная операционная система на базе Linux, в которой включено это исправление. Другие дистрибутивы Linux, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, отключают его по умолчанию. Сообщается, что Ubuntu18.04, 20.04, 22.04 и 23.10 все еще имеют уязвимости.

Уязвимость также затрагивает macOS и iOS, когда Bluetooth включен и MagicKeyboard сопряжен с уязвимым телефоном или компьютером. Важно отметить, что уязвимость также работает в режиме Apple LockDown, который, по утверждению Apple, защищает устройства от изощренных атак.

Ньюлин рассказал Apple о проблеме еще в августе. Apple подтвердила его отчет, но еще не опубликовала график выхода исправления уязвимости.