Een beveiligingslek in Bluetooth stelt hackers in staat om Android- en iOS-apparaten te besturen.

Volgens The Hacker News meldde beveiligingsonderzoeker Marc Newlin de kwetsbaarheid in augustus 2023 aan softwareleveranciers. Hij stelde dat Bluetooth-technologie een kwetsbaarheid bevat die authenticatie omzeilt, waardoor aanvallers verbinding kunnen maken met apparaten in de omgeving zonder bevestiging of interactie van de gebruiker.

Aan deze kwetsbaarheid is de trackingcode CVE-2023-45866 toegekend. Deze beschrijft een scenario waarbij authenticatie wordt omzeild, waardoor een aanvaller verbinding kan maken met apparaten en code kan uitvoeren door namens het slachtoffer toetsen in te drukken. De aanval misleidt het doelapparaat door te doen alsof het is verbonden met een Bluetooth-toetsenbord, door misbruik te maken van een niet-geauthenticeerd koppelingsmechanisme dat is gedefinieerd in de Bluetooth-specificatie.

Succesvolle exploitatie van de kwetsbaarheid zou hackers binnen het bereik van de Bluetooth-verbinding in staat kunnen stellen toetsaanslagen te verzenden om applicaties te installeren en willekeurige commando's uit te voeren. Opvallend is dat de aanval geen speciale hardware vereist en kan worden uitgevoerd vanaf een Linux-computer met een standaard Bluetooth-adapter. Technische details van de kwetsbaarheid zullen naar verwachting in de toekomst worden gepubliceerd.

Deze Bluetooth-kwetsbaarheid treft een breed scala aan apparaten met Android-versie 4.2.2 en hoger, evenals iOS, Linux en macOS. De kwetsbaarheid treft macOS en iOS wanneer Bluetooth is ingeschakeld en het Apple Magic Keyboard is gekoppeld aan het kwetsbare apparaat. Het werkt ook in de LockDown-modus, een modus die is ontworpen om te beschermen tegen digitale bedreigingen van Apple. Google stelt dat de CVE-2023-45866-kwetsbaarheid kan leiden tot privilege-escalatie op korte afstand op een apparaat zonder dat daarvoor extra uitvoeringsrechten nodig zijn.