电脑、行动装置搭配各式蓝牙配备,已是相当普遍,但这种装置配对机制存在弱点的情况,近期有多名研究人员公布相关研究,希望敦促装置开发者尽速改善这类问题。
最近有研究人员公布新的漏洞CVE-2023-45866,并指出攻击者可借此配对「假键盘」,从而操作目标装置,影响macOS、iOS、Linux、安卓作业系统的电脑或行动装置,值得留意的是,研究人员今年8月通报后,苹果目前尚未对此漏洞进行修补。
【攻击与威胁】
2年前Apache发布日志框架系统Log4j 2.15,当中修补
资安业者SkySafe软体工程师Marc Newlin揭露蓝牙键盘注入漏洞CVE-2023-45866,这项漏洞影响执行macOS、iOS、Linux、Android作业系统的电脑与行动装置,允许攻击者在无需用户确认的情况下,连线至目标装置并注入按键指令,也就是代表攻击者从远端执行各式工作,如同在目标装置操作键盘,例如:安装应用程式、执行任意命令、转发讯息,以及其他恶意行为。
这种漏洞并非单纯的实作错误,亦包含蓝牙协定本身的设计缺陷,其原理是能欺骗作业系统蓝牙晶片的状态,从而与假键盘进行配对。研究人员先是从苹果电脑与行动装置找到这项漏洞,并发现就算是使用者启用了封闭模式(Lockdown Mode),还是无法防堵攻击者借此控制装置。
后来他也在Linux电脑、安卓装置也发现相同弱点,并指出虽然Linux基金会曾在修补CVE-2020-0556就予以处理,但大部分版本Linux预设并未启用,仅有ChromeOS不受影响;安卓装置一旦启用蓝牙功能就有可能曝险,研究人发现Google在2012年推出的4.2.2版就存在该漏洞,目前该公司在12月例行更新当中,对于11版以上的安卓作业系统进行修补。