严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备
编译:代码卫士
Darkreading 报道称,一个严重的蓝牙漏洞 (CVE-2023-45866) 已存在多年,可能被用于控制安卓、Linux、macOS 和 iOS 设备。
该漏洞是认证绕过漏洞,可导致攻击者连接可疑设备并注入击键,实现代码执行后果。在GitHub 五天前发布的文章中,SkySafe 公司的研究员 Marc Newlin 表示该漏洞“诱骗蓝牙主机状态机在未经用户确认的情况下与虚假的键盘配对。” Newlin 指出,蓝牙标准中定义了底层的未认证配对机制,而特定的实现漏洞将其暴露给攻击者。他表示将在下一次会议时发布该漏洞的完整详情和 PoC 脚本,并将更新原始文档。Newlin 还在这篇文章中给出了可用的补丁信息。
Cyware 公司总监 Emily Phelps 解释称,在这个exp 中,攻击者欺骗蓝牙设备系统,使之在无需用户确认的情况下,认为它连接到一个虚假的键盘。该漏洞源自部分蓝牙规则可允许设备在无需认证的情况下进行连接。
Phelps 表示,“利用该漏洞可导致恶意黑客远程控制他人的设备。他们可下载应用、发送消息或运行依赖于该操作系统的多个命令。”Phelps 表示如果已存在该漏洞的补丁,安全团队应当马上修复。对于还在等待修复方案的设备,安全团队应当监控相关更新和布丁,同时需要让员工获知该问题并提供缓解建议如不使用蓝牙时将其禁用。
Viakoo Labs 的副总裁 John Gallagher 解释称,当设备通信时,会存在第一次“握手”,即两个系统同意互相通信。攻击者利用的是这一点:很多物联网设备如蓝牙键盘希望使这一握手尽可能容易,尤其是握手完成后才能使用的键盘。因此在 Newlin 发现的 exp 中,该握手是最少的,“我将你视作键盘,所以我让你和我通信”。
Gallagher 指出,“在很多物联网设备中,默认通信可用——无限、蓝牙和 Zigbee。它们使用的芯片集通常支持所有的标准协议,因此可用于大量系统中。作为负责新设备的一部分内容,组织机构应当禁用未在使用的任何协议。”
Gallagher 还提到,使用视频监控和访问控制维护物理安全是组织机构可保护基础设施安全的另一种方式,并认为如果威胁行动者可获得物理访问权限,则这类网络攻击活动非常容易实现。Gallagpher 表示,“这就是为何物理安全系统是恶意攻击的又一原因。”
利用新型蓝牙攻击,开走特斯拉 Model 3 和 Model Y
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。