Una vulnerabilidad de Bluetooth permite a los piratas informáticos controlar dispositivos Android e iOS.

Según The Hacker News , el investigador de seguridad Marc Newlin informó de la vulnerabilidad a los proveedores de software en agosto de 2023. Afirmó que la tecnología Bluetooth tiene una vulnerabilidad que elude la autenticación, lo que permite a los atacantes conectarse a dispositivos en la zona sin confirmación ni interacción del usuario.

Esta vulnerabilidad, identificada con el código de seguimiento CVE-2023-45866, describe un escenario de omisión de autenticación que permite a un atacante conectarse a dispositivos y ejecutar código pulsando teclas en nombre de la víctima. El ataque engaña al dispositivo objetivo haciéndole creer que está conectado a un teclado Bluetooth, aprovechando un mecanismo de emparejamiento no autenticado definido en la especificación Bluetooth.

La explotación exitosa de esta vulnerabilidad podría permitir a los hackers dentro del alcance de la conexión Bluetooth transmitir pulsaciones de teclas para instalar aplicaciones y ejecutar comandos arbitrarios. Cabe destacar que el ataque no requiere hardware especializado y puede llevarse a cabo desde un ordenador Linux utilizando un adaptador Bluetooth estándar. Se espera que los detalles técnicos de la vulnerabilidad se publiquen próximamente.

Esta vulnerabilidad de Bluetooth afecta a una amplia gama de dispositivos con Android versión 4.2.2 o superior, así como a iOS, Linux y macOS. El fallo afecta a macOS e iOS cuando Bluetooth está activado y el teclado Apple Magic Keyboard está emparejado con el dispositivo vulnerable. También funciona en el modo LockDown, un modo diseñado para proteger contra las amenazas digitales de Apple. Google afirma que la vulnerabilidad CVE-2023-45866 puede provocar una escalada de privilegios cercana en un dispositivo sin necesidad de permisos de ejecución adicionales.