Нова вразливість Bluetooth дозволяє контролювати пристрої Android, Linux, macOS та iOS

Дослідник кібербезпеки Марк Ньюлін виявив і описав вразливість Bluetooth,  яка існує приблизно з 2012 року. Вона дозволяє зловмисникам приєднуватися до пристроїв Android, Linux, macOS та iOS без автентифікації, встановлювати зловмисне ПЗ і вводити довільні команди. Для експлуатації цієї помилки, позначеної як CVE-2023-45866, не потрібне спеціальне обладнання – провести атаку можна через стандартний Bluetooth-адаптер на комп’ютері з ОС Linux. Єдина умова – зловмисник має перебувати в безпосередній близькості до вразливого пристрою.

Демонстраційний код і деталі вразливості Марк Ньюлін планує представити на найближчій безпековій конференції, але все ж таки воліє почекати, доки її не усунуть. Розробники ПЗ Bluetooth SIG, Apple, Google і Canonical про неї вже поінформовані. У Google заявили, що виправлення для версій Android 11–14 доступні виробникам оригінального обладнання, а пристрої Pixel отримають оновлення вже цього місяця. У Linux проблему усунули ще 2020 року, але більшість дистрибутивів за замовчанням лишили це оновлення відключеним. У Apple підтвердили наявність проблеми, однак планами з її розв’язання наразі не поділилися. Але всім без винятку користувачам радять вимикати Bluetooth, коли він не потрібен, регулярно оновлювати програми та ОС до останніх версій, захищати свій гаджет надійними паролями, і не створювати пари з невідомими або неперевіреними пристроями. Останню пораду можна винести на скрижаль.