The Hacker Newsによると、セキュリティ研究者のMarc Newlin氏は2023年8月にソフトウェアベンダーに脆弱性を報告した。同氏は、Bluetooth技術には認証をバイパスする脆弱性があり、攻撃者がユーザーの確認や操作なしに範囲内のデバイスに接続できると述べた。
この脆弱性にはトラッキングコードCVE-2023-45866が割り当てられており、認証バイパスのシナリオを記述しています。この脆弱性により、脅威アクターはデバイスに接続し、被害者に代わってキーを押すことでコードを実行できます。この攻撃は、Bluetooth仕様で定義されている認証されていないペアリングメカニズムを悪用することで、標的のデバイスをBluetoothキーボードに接続されていると誤認させます。
Bluetooth 接続規格は、数多くのセキュリティ上の脆弱性に直面しています。
この脆弱性を悪用されると、Bluetooth接続範囲内にいるハッカーがキーストロークを送信し、アプリケーションをインストールしたり、任意のコマンドを実行したりできる可能性があります。注目すべきは、この攻撃には特殊なハードウェアは必要なく、標準的なBluetoothアダプターを使用してLinuxコンピューターから実行できることです。脆弱性の技術的な詳細は、今後公開される予定です。
このBluetooth脆弱性は、Androidバージョン4.2.2以降を搭載した幅広いデバイス、iOS、Linux、macOSに影響を与えます。この脆弱性は、Bluetoothが有効で、Apple Magic Keyboardが脆弱なデバイスとペアリングされているmacOSとiOSで発生します。また、Appleのデジタル脅威から保護するために設計されたロックダウンモードでも発生します。Googleは、CVE-2023-45866の脆弱性により、追加の実行権限を必要とせずに、デバイス上でニアフィールド権限昇格が可能になる可能性があると述べています。
[広告2]
ソースリンク
コメント (0)