פגיעות בלוטות' מאפשרת להאקרים לשלוט במכשירי אנדרואיד ו-iOS.

על פי The Hacker News , חוקר האבטחה מארק ניולין דיווח על הפגיעות לספקי תוכנה באוגוסט 2023. הוא הצהיר כי לטכנולוגיית בלוטות' יש פגיעות שעוקפת אימות, ומאפשרת לתוקפים להתחבר למכשירים באזור ללא אישור או אינטראקציה מצד המשתמש.

לפגיעות זו הוקצה קוד המעקב CVE-2023-45866, המתאר תרחיש של עקיפת אימות המאפשר לגורם איום להתחבר למכשירים ולבצע קוד על ידי לחיצה על מקשים בשם הקורבן. ההתקפה מרמה את מכשיר היעד לחשוב שהוא מחובר למקלדת Bluetooth על ידי ניצול מנגנון צימוד לא מאומת המוגדר במפרט Bluetooth.

ניצול מוצלח של הפגיעות עלול לאפשר להאקרים הנמצאים בטווח חיבור Bluetooth להעביר הקשות מקלדת להתקנת יישומים ולביצוע פקודות שרירותיות. ראוי לציין כי ההתקפה אינה דורשת חומרה מיוחדת וניתן לבצע אותה ממחשב לינוקס באמצעות מתאם Bluetooth סטנדרטי. פרטים טכניים של הפגיעות צפויים להתפרסם בעתיד.

פגיעות בלוטות' זו משפיעה על מגוון רחב של מכשירים המריצים אנדרואיד גרסה 4.2.2 ומעלה, כמו גם iOS, לינוקס ו-macOS. הפגם משפיע על macOS ו-iOS כאשר בלוטות' מופעל ומקלדת הקסם של אפל משויכת למכשיר הפגיע. הוא פועל גם במצב נעילה, מצב שנועד להגן מפני האיומים הדיגיטליים של אפל. גוגל מציינת כי פגיעות CVE-2023-45866 עלולה להוביל להסלמה של הרשאות near-field במכשיר מבלי לדרוש הרשאות ביצוע נוספות.