12月8日,SkySafe研究员Marc Newlin发布了一篇震撼的GitHub博文,揭示了一个横扫安卓、iOS、Linux和macOS设备的高危蓝牙漏洞。这一漏洞的追溯时间可达2012年,给黑客提供了远程接管受害者设备的机会。
漏洞揭秘:CVE-2023-45866
这一蓝牙漏洞的追踪编号为CVE-2023-45866,属于一种身份绕过漏洞。攻击者能够在漏洞的利用下,以未经用户确认的方式欺骗蓝牙主机状态,实施虚假键盘配对,从而注入攻击代码并冒用受害者身份执行。
潜在风险:远程控制设备
Marc Newlin指出,由于蓝牙规范中配对机制底层未经身份验证,攻击者得以充分利用。黑客通过这一漏洞,可以在无需身份验证的情况下远程控制受害者设备。攻击的具体方式因系统而异,可能包括下载应用程序、发送消息或执行各种命令。
安全修复:Android先行
据Cyware总监Emily Phelps表示,攻击者已经开始利用这一漏洞,因此修复至关重要。谷歌已在12月的安卓安全更新中修复了CVE-2023-45866漏洞。更多有关该漏洞的详细信息可以在GitHub博文中找到,完整的漏洞细节和概念验证脚本将在后续的会议上公开演示。
这一新蓝牙漏洞的曝光引起了广泛关注,各平台纷纷采取措施修复。用户应及时更新系统,确保设备安全。