Сегодня 27 июля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...

window-new
Soft
Hard
Тренды 🔥
Минюст США обвинил TikTok в незаконном сборе информации о взглядах американцев и цензуре контента по указаниям из Пекина 51 мин.
Анонсы от авторов Mortal Kombat 1: сюжетное дополнение Khaos Reigns, подвох с Kombat Pack 2 и возвращение анималити 4 ч.
Криптовалюты вернулись к росту, но Ethereum всё равно подешевел по итогам недели 4 ч.
Теперь в TikTok можно находить песни, просто напевая их 4 ч.
Смартфоны Google Pixel 9 смогут добавлять пользователя на фото, где его изначально не было 5 ч.
Дешёвые сканеры штрихкодов помогли в кратчайшие сроки восстановить пострадавшие от CrowdStrike компьютеры 15 ч.
Новая статья: Flintlock: The Siege of Dawn — хорошие идеи в неудачной обёртке. Рецензия 15 ч.
Анонсирован китайский ролевой детектив Kill the Shadow, напоминающий смесь Disco Elysium и The Last Night 16 ч.
Соцсеть X начала без уведомления использовать данные пользователей для обучения Grok 18 ч.
Mirthwood получила новый трейлер и дату выхода — это ролевой симулятор жизни в фэнтезийном мире, вдохновлённый Fable, Stardew Valley и The Sims 18 ч.
Возвращение застрявших на МКС астронавтов с Boeing Starliner могут поручить SpaceX 47 мин.
Синий свет от экрана смартфона пагубно влияет на кожу, выяснили учёные 54 мин.
Infinix GT 20 Pro стал официальным смартфоном крупнейшего мирового чемпионата – PUBG Mobile World Cup 2 ч.
Определение планеты скоро снова могут поменять, но Плутон этот статус всё равно не вернёт 3 ч.
Colorful представила оперативную память iGame Jiachen Zhilong DDR5 в стиле китайского года дракона 4 ч.
«Уэбб» нашёл недалеко от Земли ещё один мир с потенциальным подповерхностным океаном — Ариэль, спутник Урана 4 ч.
Аргоннская национальная лаборатория намерена создать СХД ёмкостью 400 Пбайт за $20 млн 5 ч.
InfoWatch представила межсетевые экраны «ARMA Стена» с производительностью до 10 Гбит/с 5 ч.
Первый в истории частный выход в открытый космос отложили на конец августа 5 ч.
Thermal Grizzly вывела на рынок инновационные термопрокладки с эффектом фазового перехода 8 ч.