Сегодня 24 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Эмитент USDT может подорожать до $500 млрд — это поставит Tether в один ряд со SpaceX и OpenAI 2 мин.
Gearbox отложила релиз Borderlands 4 для Nintendo Switch 2 на неопределённый срок и отменила цифровые предзаказы 21 мин.
ИИ-генерируемые игры не за горами: Epic Games выпустила превью Unreal Engine 5.7 c процедурной генерацией уровней 53 мин.
Платформа «Астра Мониторинг» дополнилась средствами контроля инфраструктуры «1С» 3 ч.
Valve сделала магазин Steam более динамичным и персонализированным — переработанное меню вышло из «беты» 5 ч.
YouTube объявил амнистию для блогеров, заблокированных за фейки о COVID-19 и выборах 6 ч.
Японский Amazon рассекретил дату выхода Nioh 3 до официального анонса 6 ч.
«Google Фото» теперь редактирует снимки по голосовым командам — функция вышла за пределы Pixel 8 ч.
Yakuza Kiwami 3 выйдет с переводом на русский и сюжетным дополнением про главного злодея — дата релиза и первый трейлер ремейка Yakuza 3 9 ч.
Китайский пользователь первым в истории Steam собрал на аккаунте более 40 000 игр 19 ч.
OpenAI арендует, а не купит чипы у NVIDIA в рамках $100-млрд сделки 54 мин.
Представлены смартфоны Xiaomi 15T и 15T Pro с чипами MediaTek и камерами Leica — от €650 до €1000 2 ч.
«Яндекс» строит во Владимирской области новый ЦОД, где разместится новая зона доступности Yandex Cloud 3 ч.
Китайская Innosilicon представила видеокарту Fenghua 3 — CUDA, DX12, трассировка лучей и более 112 Гбайт HBM 3 ч.
SK hynix ускорит закупку EUV‑сканеров, чтобы не отдать Samsung лидерство на рынке HBM 3 ч.
Переход на 5G привёл к ухудшению качества связи в некоторых городах Европы и Северной Америки 4 ч.
Samsung прибрала к рукам Bowers & Wilkins, Denon, Marantz и ещё пятёрку брендов аудиотехники 4 ч.
Logitech представила беспроводную клавиатуру, которая заряжается от лампочки — Signature Slim Solar Plus K980 5 ч.
Raspberry Pi готовит вычислительный модуль CM0 с поддержкой Wi-Fi 4 и Bluetooth 4.2 LE 5 ч.
На краю Солнечной системы засекли вероятный взрыв первичной чёрной дыры — это приблизит учёных к пониманию тёмной материи 5 ч.