ब्लूटूथ की कमजोरी से हैकर्स एंड्रॉइड और आईओएस डिवाइस को नियंत्रित कर सकते हैं

द हैकर न्यूज़ के अनुसार, सुरक्षा शोधकर्ता मार्क न्यूलिन ने अगस्त 2023 में सॉफ्टवेयर विक्रेताओं को भेद्यता की सूचना दी। उन्होंने कहा कि ब्लूटूथ तकनीक में प्रमाणीकरण बाईपास भेद्यता है, जो हमलावरों को उपयोगकर्ता की पुष्टि और संचालन के बिना क्षेत्र में उपकरणों से कनेक्ट करने की अनुमति देती है।

CVE-2023-45866 के रूप में ट्रैक किया गया यह बग एक प्रमाणीकरण बाईपास का वर्णन करता है जो किसी ख़तरे वाले व्यक्ति को पीड़ित के रूप में उपकरणों से कनेक्ट होने और कीस्ट्रोक्स पर कोड निष्पादित करने की अनुमति देता है। यह हमला ब्लूटूथ विनिर्देश में परिभाषित अप्रमाणित युग्मन तंत्र का लाभ उठाकर लक्षित डिवाइस को यह सोचने के लिए प्रेरित करता है कि वह ब्लूटूथ कीबोर्ड से जुड़ा हुआ है।

इस भेद्यता का सफल दोहन ब्लूटूथ रेंज के भीतर किसी हमलावर को एप्लिकेशन इंस्टॉल करने और मनमाने कमांड चलाने के लिए कीस्ट्रोक्स भेजने की अनुमति दे सकता है। उल्लेखनीय है कि इस हमले के लिए किसी विशेष हार्डवेयर की आवश्यकता नहीं होती है और इसे एक मानक ब्लूटूथ एडाप्टर का उपयोग करके लिनक्स कंप्यूटर से अंजाम दिया जा सकता है। भेद्यता के तकनीकी विवरण भविष्य में प्रकाशित होने की उम्मीद है।

ब्लूटूथ भेद्यता Android 4.2.2 और उसके बाद के वर्ज़न, iOS, Linux और macOS चलाने वाले कई उपकरणों को प्रभावित करती है। यह macOS और iOS को तब प्रभावित करती है जब ब्लूटूथ चालू हो और Apple Magic Keyboard को संवेदनशील डिवाइस के साथ जोड़ा गया हो। यह Apple के डिजिटल ख़तरे से सुरक्षा मोड, Lockdown Mode में भी काम करता है। Google का कहना है कि CVE-2023-45866 नामक यह बग, अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता के बिना, नज़दीकी डिवाइस विशेषाधिकारों में वृद्धि का कारण बन सकता है।