हैकर न्यूज के अनुसार, सुरक्षा शोधकर्ता मार्क न्यूलिन ने अगस्त 2023 में सॉफ्टवेयर विक्रेताओं को इस खामी की सूचना दी थी। उन्होंने बताया कि ब्लूटूथ तकनीक में एक खामी है जो प्रमाणीकरण को दरकिनार कर देती है, जिससे हमलावर उपयोगकर्ता की पुष्टि या बातचीत के बिना आसपास के उपकरणों से जुड़ सकते हैं।
इस सुरक्षा खामी को ट्रैकिंग कोड CVE-2023-45866 दिया गया है, जो एक प्रमाणीकरण बाईपास परिदृश्य का वर्णन करता है। इसके द्वारा हमलावर पीड़ित की ओर से बटन दबाकर उपकरणों से जुड़ सकता है और कोड निष्पादित कर सकता है। यह हमला ब्लूटूथ विनिर्देश में परिभाषित एक अनधिकृत पेयरिंग तंत्र का फायदा उठाकर लक्षित उपकरण को यह सोचने पर मजबूर कर देता है कि वह ब्लूटूथ कीबोर्ड से जुड़ा हुआ है।
ब्लूटूथ कनेक्शन मानक कई सुरक्षा खामियों का सामना कर रहा है।
इस खामी का सफलतापूर्वक फायदा उठाकर ब्लूटूथ कनेक्शन रेंज में मौजूद हैकर्स एप्लिकेशन इंस्टॉल करने और मनमाने कमांड चलाने के लिए कीबोर्ड शॉर्टकट भेज सकते हैं। खास बात यह है कि इस हमले के लिए किसी विशेष हार्डवेयर की आवश्यकता नहीं होती और इसे एक स्टैंडर्ड ब्लूटूथ एडाप्टर का उपयोग करके लिनक्स कंप्यूटर से भी अंजाम दिया जा सकता है। इस खामी के तकनीकी विवरण जल्द ही प्रकाशित होने की उम्मीद है।
यह ब्लूटूथ सुरक्षा खामी एंड्रॉइड संस्करण 4.2.2 और उससे ऊपर के कई उपकरणों के साथ-साथ iOS, Linux और macOS को भी प्रभावित करती है। यह खामी macOS और iOS पर तब असर डालती है जब ब्लूटूथ चालू होता है और Apple Magic Keyboard असुरक्षित उपकरण से जुड़ा होता है। यह Apple के डिजिटल खतरों से सुरक्षा के लिए डिज़ाइन किए गए LockDown Mode में भी काम करती है। Google का कहना है कि CVE-2023-45866 सुरक्षा खामी के कारण अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता के बिना ही उपकरण पर निकट-क्षेत्र विशेषाधिकार वृद्धि हो सकती है।
[विज्ञापन_2]
स्रोत लिंक
टिप्पणी (0)