Bluetoothの脆弱性により、ハッカーがAndroidおよびiOSデバイスを制御可能

The Hacker Newsによると、セキュリティ研究者のMarc Newlin氏は2023年8月にソフトウェアベンダーに対し脆弱性を報告した。同氏によると、Bluetooth技術には認証バイパスの脆弱性があり、攻撃者はユーザーの確認なしに範囲内のデバイスに接続し、操作を実行できるとのこと。

CVE-2023-45866として追跡されているこのバグは、認証バイパスを特徴としており、攻撃者がデバイスに接続し、キー入力を行うことで被害者としてコードを実行できます。この攻撃は、Bluetooth仕様で定義されている認証されていないペアリングメカニズムを悪用することで、標的のデバイスをBluetoothキーボードに接続されていると誤認させます。

この脆弱性を悪用されると、Bluetooth接続の範囲内にいる攻撃者がキーストロークを送信し、アプリケーションをインストールしたり、任意のコマンドを実行したりできる可能性があります。注目すべきは、この攻撃には特別なハードウェアは必要なく、標準的なBluetoothアダプタを使用してLinuxコンピュータから実行できることです。脆弱性の技術的な詳細は、今後公開される予定です。

Bluetoothの脆弱性は、Androidバージョン4.2.2以降、iOS、Linux、macOSを搭載した幅広いデバイスに影響を及ぼします。この脆弱性は、Bluetoothが有効で、Apple Magic Keyboardが脆弱なデバイスとペアリングされているmacOSとiOSで発生します。また、Appleのデジタル脅威保護モードであるロックダウンモードでも発生します。Googleによると、このバグ（CVE-2023-45866）は、追加の実行権限を必要とせずに、デバイスが近接している状態で権限昇格を引き起こす可能性があります。