Según The Hacker News , el investigador de seguridad Marc Newlin informó la vulnerabilidad a los proveedores de software en agosto de 2023. Dijo que la tecnología Bluetooth tiene una vulnerabilidad de omisión de autenticación, lo que permite a los atacantes conectarse a dispositivos en el área sin la confirmación del usuario y realizar operaciones.
El error, identificado como CVE-2023-45866, describe una omisión de autenticación que permite a un atacante conectarse a dispositivos y ejecutar código mediante pulsaciones de teclas como si fuera la víctima. El ataque engaña al dispositivo objetivo haciéndole creer que está conectado a un teclado Bluetooth, aprovechando el mecanismo de emparejamiento no autenticado definido en la especificación Bluetooth.
El estándar de conectividad Bluetooth enfrenta muchas fallas de seguridad
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante dentro del alcance de una conexión Bluetooth transmitir pulsaciones de teclas para instalar aplicaciones y ejecutar comandos arbitrarios. Cabe destacar que el ataque no requiere hardware especializado y puede ejecutarse desde un ordenador Linux mediante un adaptador Bluetooth estándar. Se espera que los detalles técnicos de la vulnerabilidad se publiquen próximamente.
La vulnerabilidad de Bluetooth afecta a una amplia gama de dispositivos con Android (a partir de la versión 4.2.2), iOS, Linux y macOS. La vulnerabilidad afecta a macOS e iOS cuando el Bluetooth está activado y se empareja un teclado Apple Magic Keyboard con el dispositivo vulnerable. También funciona en modo de bloqueo, el modo de protección contra amenazas digitales de Apple. Google afirma que el error, CVE-2023-45866, puede provocar la escalada de privilegios del dispositivo en proximidad sin necesidad de privilegios de ejecución adicionales.
[anuncio_2]
Enlace de origen
Kommentar (0)