بلوٹوتھ کی کمزوری ہیکرز کو Android اور iOS آلات کو کنٹرول کرنے کی اجازت دیتی ہے۔

دی ہیکر نیوز کے مطابق، سیکیورٹی محقق مارک نیولن نے اگست 2023 میں سافٹ ویئر فروشوں کے لیے خطرے کی اطلاع دی۔ انھوں نے بتایا کہ بلوٹوتھ ٹیکنالوجی میں ایک ایسی کمزوری ہے جو تصدیق کو نظرانداز کرتی ہے، جس سے حملہ آور صارف کی تصدیق یا بات چیت کے بغیر علاقے میں موجود آلات سے رابطہ قائم کر سکتے ہیں۔

اس خطرے کو ٹریکنگ کوڈ CVE-2023-45866 تفویض کیا گیا ہے، جس میں ایک توثیق بائی پاس منظر نامے کی وضاحت کی گئی ہے جو ایک دھمکی آمیز اداکار کو ڈیوائسز سے منسلک ہونے اور شکار کی جانب سے کیز دبا کر کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔ یہ حملہ ٹارگٹ ڈیوائس کو یہ سوچنے پر مجبور کرتا ہے کہ یہ بلوٹوتھ کی بورڈ سے جڑا ہوا ہے بلوٹوتھ کی تفصیلات میں بیان کردہ غیر مستند جوڑی کے طریقہ کار کا فائدہ اٹھا کر۔

کمزوری کا کامیاب استحصال بلوٹوتھ کنکشن رینج کے اندر ہیکرز کو ایپلی کیشنز کو انسٹال کرنے اور صوابدیدی احکامات پر عمل درآمد کرنے کے لیے کی اسٹروکس منتقل کرنے کی اجازت دے سکتا ہے۔ خاص طور پر، حملے کے لیے کسی خاص ہارڈ ویئر کی ضرورت نہیں ہوتی ہے اور اسے معیاری بلوٹوتھ اڈاپٹر کا استعمال کرتے ہوئے لینکس کمپیوٹر سے کیا جا سکتا ہے۔ خطرے کی تکنیکی تفصیلات مستقبل میں شائع ہونے کی امید ہے۔

یہ بلوٹوتھ کمزوری Android ورژن 4.2.2 اور اس سے اوپر والے آلات کے ساتھ ساتھ iOS، Linux اور macOS پر بھی اثر انداز ہوتی ہے۔ جب بلوٹوتھ فعال ہوتا ہے اور ایپل میجک کی بورڈ کو کمزور ڈیوائس کے ساتھ جوڑا جاتا ہے تو یہ خامی macOS اور iOS کو متاثر کرتی ہے۔ یہ لاک ڈاؤن موڈ میں بھی کام کرتا ہے، جو کہ ایپل کے ڈیجیٹل خطرات سے بچانے کے لیے ڈیزائن کیا گیا ہے۔ گوگل کا کہنا ہے کہ CVE-2023-45866 خطرے کی وجہ سے کسی ڈیوائس پر کسی اضافی مراعات کی ضرورت کے بغیر فیلڈ پرائیویلج میں اضافہ ہو سکتا ہے۔