The Hacker Newsによると、セキュリティ研究者のマーク・ニューリン氏が2023年8月にソフトウェアベンダーにこの脆弱性を報告したという。同氏は、Bluetooth技術には認証バイパスの脆弱性があり、攻撃者がユーザーの確認なしに範囲内のデバイスに接続して操作を実行できると述べた。
このバグには追跡番号 CVE-2023-45866 が割り当てられており、これは、脅威の攻撃者がデバイスに接続し、キーストロークを実行し、被害者としてコードを実行できるようにする認証バイパスについて説明しています。この攻撃は、Bluetooth 仕様で定義されている認証されていないペアリング メカニズムを利用して、ターゲット デバイスが Bluetooth キーボードに接続されていると思わせます。
Bluetooth接続規格は多くのセキュリティ上の欠陥に直面している
この脆弱性を悪用すると、Bluetooth 接続の範囲内にいる攻撃者がキーストロークを送信してアプリケーションをインストールしたり、任意のコマンドを実行したりできる可能性があります。この攻撃には特殊なハードウェアは必要なく、通常の Bluetooth アダプタを使用して Linux コンピュータから実行できることは注目に値します。脆弱性の技術的な詳細は今後公開される予定です。
この Bluetooth の脆弱性は、Android バージョン 4.2.2 以降、iOS、Linux、macOS を実行している幅広いデバイスに影響を及ぼします。このバグは、Bluetooth が有効になっていて、Apple キーボード (Magic Keyboard) が脆弱なデバイスとペアリングされている場合に、macOS と iOS に影響します。これは、Apple のデジタル脅威保護モードである LockDown モードでも機能します。 Google によると、このバグ CVE-2023-45866 により、追加の実行権限を必要とせずに、デバイスに近い権限の昇格が可能になる可能性があるという。
[広告2]
ソースリンク
コメント (0)