Security Week 2403: Bluetooth-уязвимости в Windows, Linux, Android, iOS и Mac OS
На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликованное еще в декабре краткое сообщение о найденных проблемах. Основная уязвимость (получившая идентификатор CVE-2023-45866) связана с тем, что большинство реализаций протокола Bluetooth поддерживают установление связи с клавиатурой (или Bluetooth-устройством, которое притворяется клавиатурой) без аутентификации. В результате на уязвимых устройствах (с некоторыми оговорками, о которых позже) потенциальный злоумышленник может добавить собственную клавиатуру и отправлять произвольные нажатия клавиш.
Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.
Читать дальше →
Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- 5 нейроинструментов, которые помогают создавать хорошие изображения
- 35% маркетологов недовольны отсутствием удалёнки
- Как создать эффектный и бесполезный вирусный контент
- 7 самых распространенных ошибок при внесении ПО и ПАК в МинЦифры и как этого избежать
- Бюджеты иностранных рекламодателей в VK Рекламе выросли по итогу первого квартала 2025 года
- 37% предпринимателей управляют маркетингом лично: подходы разных поколений к маркетингу
- Обзор интерактивной выставки «Спорт будущего в настоящем» в Государственном музее спорта
- SmartCaptcha Yandex на iOS: инструкция по внедрению
- РПшники тоже ошибаются
- От подбора пароля к WiFi до пентеста серверов Apple: разговор с топовыми багхантерами из Synack и HackerOne