SkySafe軟體工程師Marc Newlin發現了一個新的藍牙安全漏洞CVE-2023-45866,涉及未經認證的藍牙鍵盤注入攻擊,影響的系統包括Android、Linux、macOS和iOS。Marc Newlin提到,這個漏洞看起來包含協定的設計缺陷,而非單純的實作錯誤。
Marc Newlin發現多個藍牙堆疊實作具有可以繞過身分驗證的漏洞CVE-2023-45866,允許攻擊者在無需用戶確認的情況下,連接到目標主機,並且注入按鍵指令。這代表攻擊者可以從遠端執行各種操作,就像是使用受害者裝置上的鍵盤一樣,執行應用程式安裝、任意命令、轉發訊息,以及其他惡意行為都沒問題。該攻擊行動不需要複雜的硬體,只需要一臺配備有藍牙連接器的Linux電腦就可以完成。
Marc Newlin最先在Apple裝置的macOS和iOS中,發現這個未經授權的藍牙按鍵注入漏洞,兩者都可以在裝置封閉模式(Lockdown Mode)下被濫用。Marc Newlin之後又在Linux和Android中找到類似的漏洞。
Marc Newlin解釋,這些漏洞的運作原理,是能夠在未經用戶確認的情況下,欺騙藍牙主機狀態機和假鍵盤配對。由於藍牙規範中定義了底層未經身分驗證的配對機制,而實作錯誤便會將其暴露給攻擊者,導致無論是Android、Linux、macOS還是iOS,在特定狀態都容易受到攻擊。
Android裝置只要一啟用藍牙,就容易受到攻擊,而Linux則是在藍牙進入可探索狀態時,才容易被攻擊,iOS和macOS則是要在啟用藍牙,並且巧控鍵盤已經與手機或是電腦配對時,容易遭受惡意攻擊。一旦攻擊者和目標裝置配對完成,便可以執行按鍵注入攻擊,以受害者身分執行任意操作,而且這些操作不需要經過密碼或是生物識別身分驗證。
CVE-2023-45866是一個存在時間有點久的漏洞,Marc Newlin甚至可以在2012年發布的Android 4.2.2上重現藍牙按鍵注入攻擊。目前Google已經在12月5日的安全更新,對Android 11以上版本提供修復該漏洞的程式,但是並未修復Android 4.2.2-10版本。
Linux系統漏洞則在2020年修補CVE-2020-0556漏洞時,修掉這個藍牙按鍵注入漏洞,但該修補預設不啟用,Marc Newlin指出,ChromeOS是唯一已知啟用該修補的Linux作業系統,Google也回應ChromeOS不受CVE-2023-45866漏洞影響。官方Linux藍牙協定堆疊BlueZ則是在2020年修補該漏洞,並預設為啟用,因此只要更新BlueZ版本將會自動啟用該修補,可以保護Linux系統免受這類藍牙漏洞影響。
Marc Newlin測試了macOS 13.3.3、macOS 12.6.7和iOS 16.6版本,皆存在CVE-2023-45866漏洞,而且即便用戶啟用封閉模式也無法避免攻擊者濫用該漏洞,Marc Newlin在2023年8月的時候向Apple回報了這項漏洞,目前尚未有更新釋出。
12月14日資訊更新 Apple在12月11日發布的安全更新修補了CVE-2023-45866。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22