블루투스 취약점으로 인해 해커들이 안드로이드 및 iOS 기기를 제어할 수 있습니다.

해커 뉴스(The Hacker News) 에 따르면, 보안 연구원 마크 뉴린(Marc Newlin)은 2023년 8월에 소프트웨어 업체에 해당 취약점을 보고했습니다. 그는 블루투스 기술에 인증을 우회하는 취약점이 있어 공격자가 사용자 확인이나 상호 작용 없이 주변 기기에 연결할 수 있다고 밝혔습니다.

이 취약점에는 CVE-2023-45866이라는 추적 코드가 부여되었으며, 공격자가 기기에 연결하여 피해자를 대신해 키를 눌러 코드를 실행할 수 있도록 하는 인증 우회 시나리오를 설명합니다. 이 공격은 블루투스 사양에 정의된 인증되지 않은 페어링 메커니즘을 악용하여 대상 기기가 블루투스 키보드에 연결된 것으로 인식하도록 속입니다.

해당 취약점을 성공적으로 악용하면 블루투스 연결 범위 내에 있는 해커가 키 입력을 전송하여 애플리케이션을 설치하거나 임의의 명령을 실행할 수 있습니다. 특히, 이 공격은 특수 하드웨어가 필요하지 않으며 표준 블루투스 어댑터를 사용하는 리눅스 컴퓨터에서 수행할 수 있습니다. 해당 취약점에 대한 기술적 세부 정보는 추후 공개될 예정입니다.

이 블루투스 취약점은 안드로이드 4.2.2 이상 버전뿐만 아니라 iOS, Linux, macOS를 실행하는 다양한 기기에 영향을 미칩니다. 이 결함은 블루투스가 활성화된 상태에서 Apple Magic Keyboard가 취약한 기기와 페어링된 경우 macOS 및 iOS에 영향을 미칩니다. 또한 Apple의 디지털 위협으로부터 보호하기 위해 설계된 LockDown 모드에서도 작동합니다. Google은 CVE-2023-45866 취약점으로 인해 추가 실행 권한 없이도 기기에서 근거리 권한 상승(NFP)이 발생할 수 있다고 밝혔습니다.