реклама
Новости Software

В Bluetooth нашли очередную уязвимость, которая угрожает Mac, iPhone и миллиардам Android-устройств

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Флибустьеры поневоле: в 2024 году почти три четверти российских игроков оказались пиратами 2 ч.
«Образ Джокера на Железном троне останется со мной навсегда»: релизный трейлер MultiVersus взбудоражил фанатов перед воскрешением игры 3 ч.
Подписка требует жертв: инсайдеры предупредили о подорожании Game Pass из-за Call of Duty 5 ч.
OpenAI отключила в ChatGPT голос Sky в из-за удивительного сходства с голосом Скарлетт Йоханссон 5 ч.
Google обвинила Microsoft в неспособности защитить клиентов от кибератак 5 ч.
Опубликованы первые тесты видеокарт в бенчмарке 3DMark Steel Nomad, который выйдет завтра 6 ч.
Гендиректор Take-Two: Rockstar постарается выпустить GTA VI без багов, но это не главное 8 ч.
«Обязателен для всех фанатов»: для ремастера культового квеста Grim Fandango вышел мод с улучшениями графики 9 ч.
С конца мая ЦБ начнет проверять, как в банках идёт импортозамещение ПО 10 ч.
«Встряхнёт игровую индустрию»: новый геймплейный трейлер Black Myth: Wukong привёл геймеров в восторг 11 ч.
Microsoft представила ноутбук Surface Laptop на Arm-процессоре Snapdragon X Elite с автономностью до 22 часов 34 мин.
Antec выпустит портативную приставку Core HS — это переименованная и подешевевшая AyaNeo Slide 43 мин.
Microsoft отказалась от AI PС и представила Copilot Plus PC — ИИ-ноутбуки будущего 56 мин.
NASA доставит на Марс европейский ровер «Розалинд Франклин» вместо «Роскосмоса» 3 ч.
FPGA с HBM2e: AMD без лишнего шума выпустила ускоритель Alveo V80 стоимостью всего $9,5 тыс. 3 ч.
Asus выпустила первый в мире WOLED-монитор с глянцевым экраном без бликов — 26,5-дюймовый ROG Strix OLED XG27AQDMG 4 ч.
HMD Global готовит смартфон с дизайном легендарного Nokia Lumia 920 4 ч.
В погоне за ИИ: большинство строящихся в Северной Америке ЦОД арендуют ещё до того, как они готовы, несмотря на рост цен 5 ч.
Глава Asus: эволюция ИИ ПК пойдёт сложным путём 6 ч.
На память HBM к концу года придётся 35 % производства DRAM по передовым техпроцессам 6 ч.