该蓝牙安全漏洞可用于劫持Apple和Linux设备

导读专家们发现了一种方法，可以欺骗支持蓝牙的设备，使其认为它已连接到无线键盘，而实际上它正在连接到另一台计算机。网络安全研究人员马克·...

专家们发现了一种方法，可以欺骗支持蓝牙的设备，使其认为它已连接到无线键盘，而实际上它正在连接到另一台计算机。

网络安全研究人员马克·纽林(MarcNewlin)发现了该漏洞，并于去年夏天向蓝牙软件供应商披露了该漏洞，他表示，这反过来将允许操作员在设备上运行命令，包括运行恶意软件。

该缺陷被追踪为CVE-2023-45866，并被描述为身份验证绕过。据称，Android、Linux、cOS和iOS设备都容易受到影响。

纽林说：“多个蓝牙堆栈存在身份验证绕过漏洞，允许攻击者在未经用户确认的情况下连接到可发现的主机并注入击键。”

如果攻击者在物理上距离受害者端点足够近，他可以欺骗受害者认为它与新的蓝牙键盘配对，然后使用这个新的“键盘”来运行应用程序、任意命令等。它所需要的只是一台带有常规蓝牙适配器的Linux计算机。

谷歌最近发布了一份新的安全公告，以提请Android用户注意该漏洞，并表示CVE-2023-45866可能会导致远程权限升级，“无需额外的执行权限”。

蓝牙最近受到了很多负面报道。就在上周，Eurecom的研究人员发现了两个统称为BLUFFS的缺陷，这些缺陷允许攻击者发起设备模拟或中间人攻击。BLUFFS被跟踪为CVE-2023-24023，并影响4.2版及以上版本的蓝牙核心规范。研究人员表示，它们“从根本上”影响蓝牙。

蓝牙已经存在多年，被认为是一种安全、完善的无线通信标准。因此，此类漏洞可能会被滥用来危害全球数十亿台设备，包括笔记本电脑、智能手机、不同的联网传感器等。

有关CVE-2023-45866的技术详细信息将于稍后发布。

标签：

免责声明：本文由用户上传，如有侵权请联系删除！