Сегодня 31 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Twitch появятся перемотка, вертикальные трансляции и не только 8 ч.
Суд склоняется к мягким мерам по устранению монополии Google в онлайн-поиске, но окончательное решение придётся подождать 10 ч.
Google запустила ИИ-генератор видео Veo 3 для мобильных устройств на Android и iOS 15 ч.
Microsoft добавила в «Блокнот» возможности форматирования текста почти как в Word 16 ч.
OpenAI хочет, чтобы ChatGPT стал личным секретарём для каждого 16 ч.
Новая статья: The Slormancer — Diablo без заморочек. Рецензия 23 ч.
Моддер уже добавил в Elden Ring Nightreign режим для двух игроков, о котором забыли разработчики 24 ч.
Sony сняла региональные ограничения со Stellar Blade на ПК, а в Steam вышла демоверсия игры 30-05 22:03
«Microsoft любыми способами должна отбить эти $70 млрд»: Activision возмутила игроков новой рекламой в Call of Duty: Black Ops 6 и Warzone 30-05 20:25
Звание худшей игры FromSoftware в Steam не помеха: продажи Elden Ring Nightreign превысили 2 миллиона копий в день релиза 30-05 18:51
WSJ: план США по сдерживанию развития китайских технологий не работает 8 ч.
Dell получила рекордный объём заказов на ИИ-серверы и повысила прогноз по прибыли на год 9 ч.
Шум во благо: физики добились квантовой «гиперзапутанности» атомов при помощи лазерного пинцета 10 ч.
Скидки на iPhone сработали: продажи иностранных смартфонов в Китае слегка подросли в апреле 10 ч.
InnoGrit представила SSD серии N3X — альтернативу Intel Optane с показателем IOPS до 3,5 млн 11 ч.
OpenYard представила серверы RS102I и RS202I на базе Intel Xeon Emerald Rapids 11 ч.
Илон Маск начал проталкивать в США закон о беспилотном транспорте 11 ч.
1 000 000 Гбит/с на 1800 км: японцы установили рекорд скорости передачи данных по почти обычному оптоволокну 12 ч.
Synopsys уже прекратила обслуживать разработчиков чипов на территории Китая 15 ч.
TSMC рассматривает возможность строительства в ОАЭ предприятия по производству чипов 16 ч.