Según The Hacker News , el investigador de seguridad Marc Newlin informó la vulnerabilidad a los proveedores de software en agosto de 2023. Afirmó que la tecnología Bluetooth tiene una vulnerabilidad que elude la autenticación, lo que permite a los atacantes conectarse a dispositivos en el área sin confirmación o interacción del usuario.
A esta vulnerabilidad se le ha asignado el código de seguimiento CVE-2023-45866, que describe un escenario de omisión de autenticación que permite a un atacante conectarse a dispositivos y ejecutar código pulsando teclas en nombre de la víctima. El ataque engaña al dispositivo objetivo haciéndole creer que está conectado a un teclado Bluetooth explotando un mecanismo de emparejamiento no autenticado definido en la especificación Bluetooth.
El estándar de conexión Bluetooth se enfrenta a numerosas vulnerabilidades de seguridad.
La explotación exitosa de esta vulnerabilidad podría permitir a los hackers dentro del rango de conexión Bluetooth transmitir pulsaciones de teclas para instalar aplicaciones y ejecutar comandos arbitrarios. Cabe destacar que el ataque no requiere hardware especializado y puede ejecutarse desde un ordenador Linux mediante un adaptador Bluetooth estándar. Se espera que los detalles técnicos de la vulnerabilidad se publiquen próximamente.
Esta vulnerabilidad de Bluetooth afecta a una amplia gama de dispositivos con Android 4.2.2 y versiones posteriores, así como a iOS, Linux y macOS. La falla afecta a macOS e iOS cuando el Bluetooth está activado y el teclado Magic Keyboard de Apple está emparejado con el dispositivo vulnerable. También funciona en modo de bloqueo, un modo diseñado para proteger contra las amenazas digitales de Apple. Google afirma que la vulnerabilidad CVE-2023-45866 puede provocar una escalada de privilegios de campo cercano en un dispositivo sin necesidad de privilegios de ejecución adicionales.
[anuncio_2]
Enlace de origen
Kommentar (0)