По данным The Hacker News , исследователь безопасности Марк Ньюлин сообщил об уязвимости поставщикам программного обеспечения в августе 2023 года. Он сказал, что в технологии Bluetooth есть уязвимость обхода аутентификации, позволяющая злоумышленникам подключаться к находящимся поблизости устройствам без подтверждения пользователя и выполнять операции.
Ошибка, отслеживаемая как CVE-2023-45866, описывает обход аутентификации, позволяющий злоумышленнику подключаться к устройствам и выполнять код от имени жертвы, нажимая клавиши. Атака обманывает целевое устройство, заставляя его думать, что оно подключено к Bluetooth-клавиатуре, используя механизм сопряжения без аутентификации, описанный в спецификации Bluetooth.
Стандарт подключения Bluetooth сталкивается с множеством уязвимостей безопасности
Успешная эксплуатация уязвимости может позволить злоумышленнику, находящемуся в зоне действия Bluetooth-соединения, передавать нажатия клавиш для установки приложений и запуска произвольных команд. Примечательно, что атака не требует специального оборудования и может быть выполнена с компьютера под управлением Linux с помощью стандартного Bluetooth-адаптера. Технические подробности об уязвимости, как ожидается, будут опубликованы в будущем.
Уязвимость Bluetooth затрагивает широкий спектр устройств под управлением Android начиная с версии 4.2.2, а также iOS, Linux и macOS. Уязвимость затрагивает macOS и iOS при включённом Bluetooth и сопряжении клавиатуры Apple Magic Keyboard с уязвимым устройством. Она также работает в режиме LockDown Mode, режиме защиты от цифровых угроз Apple. Google сообщает, что ошибка CVE-2023-45866 может привести к повышению привилегий устройства в непосредственной близости без необходимости дополнительных прав на выполнение.
Ссылка на источник
![[Фото] Генеральный секретарь То Лам принимает участие в праздновании 80-летия традиционного Дня сектора культуры](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/23/7a88e6b58502490aa153adf8f0eec2b2)
Комментарий (0)