Сегодня 02 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Мечта, ставшая реальностью»: Activision и Paramount превратят Call of Duty в незабываемый фильм для старых и новых фанатов 9 мин.
От GTX 1060 до RTX 5070: Techland опубликовала полные системные требования Dying Light: The Beast, в том числе для ноутбуков 47 мин.
Хакеры атаковали Jaguar Land Rover — производство автомобилей остановлено 2 ч.
Не Hollow Knight: Silksong единой — Microsoft рассказала о первых новинках Game Pass в сентябре 3 ч.
Квантовые компьютеры ещё не готовы, но в ПО для них уже инвестируют миллионы 3 ч.
Слухи: Ubisoft начала строить планы на Rayman 4, а Beyond Good and Evil 2 выйдет до конца 2027 года 4 ч.
Спустя почти год Capcom удалила Denuvo из Dead Rising Deluxe Remaster, но заменила её другой DRM 4 ч.
Не хочешь — заставим: правительство само определит категории объектов КИИ 6 ч.
Криптовалюта WLFI Дональда Трампа упала в цене в первый же день торгов 7 ч.
GeForce RTX 4060 стала самой популярной видеокартой в Steam, а доля Windows 11 впервые превысила 60 % 8 ч.
США лишили TSMC возможности поставлять оборудование на свой завод чипов в Китае 2 ч.
Thermalright выпустила кулер Phantom Spirit 120 Digital с цифровым дисплеем и поддержкой процессоров с TDP до 275 Вт 2 ч.
Tesla провалила старт продаж в Индии — всего 600 заказов за 2,5 месяца 3 ч.
Передовые чипы подорожают: TSMC повысит цены на 10 % из-за трамповских пошлин 4 ч.
Одна плата ASRock уничтожила два Ryzen 7 9800X3D всего за несколько месяцев 4 ч.
В небо над Россией запустят воздушные шары с 5G — альтернатива спутникам Starlink 4 ч.
Мировые продажи электромобилей выросли на 29 % и перевалят за 20 млн в этом году 5 ч.
В умном доме «Сбера» поселился GigaChat — ИИ прокачал голосовое управления и не только 5 ч.
«Не понадобится ни один человек»: доступные роботы позволят Китаю и дальше заваливать мир дешёвыми товарами 5 ч.
Революция в мире оптической связи: Microsoft помогла улучшить характеристики полого оптоволокна 5 ч.