Una vulnerabilidad en Bluetooth permite a los hackers controlar dispositivos Android e iOS.

Según The Hacker News , el investigador de seguridad Marc Newlin informó de la vulnerabilidad a los proveedores de software en agosto de 2023. Dijo que la tecnología Bluetooth tiene una vulnerabilidad de omisión de autenticación, lo que permite a los atacantes conectarse a dispositivos en el área sin la confirmación y operación del usuario.

La vulnerabilidad, identificada como CVE-2023-45866, describe una forma de eludir la autenticación que permite a un atacante conectarse a dispositivos y ejecutar código al pulsar teclas, haciéndose pasar por la víctima. El ataque engaña al dispositivo objetivo haciéndole creer que está conectado a un teclado Bluetooth, aprovechando el mecanismo de emparejamiento no autenticado definido en la especificación de Bluetooth.

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante dentro del alcance de Bluetooth transmitir pulsaciones de teclas para instalar aplicaciones y ejecutar comandos arbitrarios. Cabe destacar que el ataque no requiere hardware especializado y puede realizarse desde un ordenador Linux utilizando un adaptador Bluetooth estándar. Se espera que los detalles técnicos de la vulnerabilidad se publiquen próximamente.

La vulnerabilidad de Bluetooth afecta a una amplia gama de dispositivos con Android 4.2.2 o superior, iOS, Linux y macOS. Afecta a macOS e iOS cuando Bluetooth está activado y un teclado Magic Keyboard de Apple está emparejado con el dispositivo vulnerable. También funciona en el modo LockDown, el modo de protección contra amenazas digitales de Apple. Google afirma que el fallo, CVE-2023-45866, puede provocar una escalada de privilegios en dispositivos cercanos sin necesidad de privilegios de ejecución adicionales.