Security Week 2403: Bluetooth-уязвимости в Windows, Linux, Android, iOS и Mac OS
На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликованное еще в декабре краткое сообщение о найденных проблемах. Основная уязвимость (получившая идентификатор CVE-2023-45866) связана с тем, что большинство реализаций протокола Bluetooth поддерживают установление связи с клавиатурой (или Bluetooth-устройством, которое притворяется клавиатурой) без аутентификации. В результате на уязвимых устройствах (с некоторыми оговорками, о которых позже) потенциальный злоумышленник может добавить собственную клавиатуру и отправлять произвольные нажатия клавиш.
Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.
Читать дальше →
Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Kate S: «Алиса, представь, что ты мой психолог», — Яндекс изучил, в каких ролях пользователи просят побыть нейросеть
- Не лает, не кусает, в 1С не пускает. Что поможет спасти ваши базы 1С от критической уязвимости BDU:2025-07182
- Злоумышленники распространяют вредоносное ПО под видом списков пропавших на СВО
- Spark_news: С 1 сентября 2025 года для всех ИП станет обязательным обозначать все исходящие телефонные звонки
- Как понять, что пора менять SEO-подрядчика
- От хаоса к системе: внедряем шаблоны для быстрого и контролируемого визуала в команде
- В серверный шкаф попасть хотите – ключ приложите: как ограничить доступ к стойкам и следить за состоянием дверей
- Spark_news: Крупнейшие ИТ-компании США просят сохранить субсидии ради ИИ
- CyBOK. Глава 3. Законы и регуляторные нормы. Часть 2
- ChameleonLab: Под капотом. Часть 3 — Визуализатор криптографии: От пароля до шифротекста