Сегодня 21 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
OpenAI заподозрили в манипуляциях с тестами мощной ИИ-модели o3 2 ч.
Cyberpunk 2077 стала первой подтверждённой игрой для Switch 2 с поддержкой DLSS, но есть нюанс 2 ч.
Олдскульная стратегия Tempest Rising в духе Command & Conquer из-за ошибки вышла на неделю раньше запланированного — издатель смирился с этим 2 ч.
Европейский регулятор случайно раскрыл планы Ubisoft на Assassin’s Creed Shadows для Nintendo Switch 2 3 ч.
Российские пираты предпочитают доменную зону .RU остальным 4 ч.
«Киберпротект» представил новую версию системы резервного копирования Кибер Бэкап 17.3 5 ч.
Создатели ремастера Days Gone рассказали о режимах производительности на PS5 и графических улучшениях 5 ч.
Meta уже несколько лет пытается вернуть Facebook культурную ценность 16 ч.
Новая статья: Blue Prince — особняк желаний. Рецензия 20-04 00:05
Новая статья: Gamesblender № 722: народные GeForce 50, подорожание консолей и ролевая свобода в The Outer Worlds 2 19-04 23:32
Doogee покажет на московской выставке «Связь-2025» новые смартфоны, планшеты и смарт-часы с поддержкой ИИ 25 мин.
CATL представила натрий-ионные аккумуляторы, которые не теряют заряд на морозе 27 мин.
Oukitel покажет на выставке «Связь-2025» защищённые смартфоны WP200 Pro, WP100 Titan и другие новинки 29 мин.
Fujitsu, Supermicro и Nidec сообща повысят энергоэффективность ИИ ЦОД 55 мин.
Atto представила сетевые адаптеры Celerity FC-644E с четырьмя портами FC64G и FastFrame N424 с четырьмя портами 25GbE 2 ч.
CoolIT представила 2-МВт блок распределения охлаждающей жидкости CHx2000 для ИИ и HPC ЦОД 2 ч.
Представлен модуль Banana Pi BPI-CM6 — аналог Raspberry Pi CM4 на базе RISC-V 5 ч.
Представлен LG Smart Monitor Swing — смарт-монитор на колёсиках и webOS 5 ч.
Американское предприятие TSMC принесло компании в прошлом году $440 млн убытков 5 ч.
ASML продала часть земли в корейском Хвасоне, где собиралась построить совместный с Samsung исследовательский центр 6 ч.