The Hacker News 에 따르면 보안 연구원인 Marc Newlin은 2023년 8월에 소프트웨어 공급업체에 이 취약점을 보고했습니다. 그는 Bluetooth 기술에 인증 우회 취약점이 있어 공격자가 사용자 확인 없이 해당 지역의 장치에 연결하여 작업을 수행할 수 있다고 말했습니다.
CVE-2023-45866으로 추적되는 이 버그는 공격자가 기기에 접속하여 키 입력을 실행하여 피해자의 권한으로 코드를 실행할 수 있도록 하는 인증 우회 취약점을 설명합니다. 이 공격은 블루투스 사양에 정의된 인증되지 않은 페어링 메커니즘을 악용하여 대상 기기가 블루투스 키보드에 연결된 것으로 착각하게 만듭니다.
Bluetooth 연결 표준은 많은 보안 결함에 직면해 있습니다.
이 취약점을 성공적으로 악용하면 블루투스 연결 범위 내에 있는 공격자가 키 입력을 전송하여 애플리케이션을 설치하고 임의 명령을 실행할 수 있습니다. 특히, 이 공격은 특수 하드웨어를 필요로 하지 않으며 표준 블루투스 어댑터를 사용하여 Linux 컴퓨터에서 수행할 수 있습니다. 취약점에 대한 기술적 세부 정보는 향후 공개될 예정입니다.
블루투스 취약점은 안드로이드 4.2.2 버전 이후, iOS, 리눅스, macOS를 실행하는 광범위한 기기에 영향을 미칩니다. 이 취약점은 블루투스가 활성화되어 있고 Apple Magic Keyboard가 취약한 기기와 페어링된 macOS와 iOS 기기에 영향을 미칩니다. 또한 Apple의 디지털 위협 보호 모드인 잠금 모드에서도 작동합니다. 구글은 이 버그(CVE-2023-45866)가 추가 실행 권한 없이도 근접 공격에서 기기 권한 상승을 유발할 수 있다고 밝혔습니다.
[광고_2]
소스 링크
댓글 (0)