Mobil Cihazlara Yönelik Bir Tehdit


Android, macOS ve iOS cihazlarını etkileyen, kimliği doğrulanmamış bir Bluetooth tuş vuruşu ekleme güvenlik açığı keşfedildi.

Bu güvenlik açığından, Bluetooth ana bilgisayar durumu makinesinin kimlik doğrulaması olmadan sahte bir klavyeyle eşleşmesi için kandırılarak yararlanılabilir.

Bu güvenlik açığı, Bluetooth’un etkin olduğu Android aygıtlarını, Bluetooth Bağlanabilir/Keşfedilebilir iOS’un bulunduğu Linux/BlueZ aygıtlarını ve Bluetooth’un etkin olduğu macOS aygıtlarını ve telefon veya bilgisayarla eşleştirilmiş Magic Keyboard’u etkiler.

Bu güvenlik açığına yönelik CVE, CVE-2023-45866 olarak atandı.

CVE-2023-45866: Kimliği doğrulanmamış Bluetooth tuş vuruşu ekleme

Hedef telefon veya bilgisayarla eşleştirildikten sonra tehdit aktörü, Standart Bluetooth bağdaştırıcısı kullanan bir Linux bilgisayardan bu güvenlik açığından yararlanabilir.

Tehdit aktörü, eşleştirildikten sonra kurban adına herhangi bir kimlik doğrulama gerektirmeden tuş vuruşları yapabilir ve keyfi eylemler gerçekleştirebilir.

Etkilenen Cihazlar

Ayrıca bu güvenlik açığı aşağıdaki cihazlarda başarıyla yeniden oluşturuldu.

  • Android 14 çalıştıran Pixel 7
  • Android 13 çalıştıran Pixel 6
  • Android 13 çalıştıran Pixel 4a (5G)
  • Android 11 çalıştıran Pixel 2
  • Android 10 çalıştıran Pixel 2
  • Android 6.0.1 çalıştıran Nexus 5
  • Android 4.2.2 çalıştıran BLU DASH 3.5
  • Ubuntu18.04, 20.04, 22.04, 23.10
  • MacOS 13.3.3 (M2) yüklü 2022 MacBook Pro
  • macOS 12.6.7 (Intel) yüklü 2017 MacBook Air
  • iOS 16.6 çalıştıran iPhone SE

ChromeOS, Google tarafından mükemmel bir şekilde yamalandığı için bu saldırıya karşı savunmasız bulunmadı.

Güvenlik araştırmacısı bu güvenlik açığı hakkında tam olarak ayrıntılı bir rapor yayınlamadı. Ancak bu güvenlik açığının etkisini ve ayrıntılarını açıklayan bir GitHub deposu yayınlandı.

Linux güvenlik açığı (CVE-2020-0556) düzeltildi, ancak düzeltme varsayılan olarak devre dışı bırakılmış gibi görünüyor, bu da cihazların bu saldırı vektörüne karşı hala savunmasız kalmasına neden oluyor.

BluZ bu güvenlik açığını gidermiş ve 2020 düzeltmesinden itibaren varsayılan olarak düzeltmeyi etkinleştirmiştir.

Google, şu anda desteklenen Pixel cihazlardaki güvenlik açıklarını Aralık ayı OTA güncellemeleri aracılığıyla düzeltecek.



Source link