近日,蘋果公司旗下的操作系統(tǒng)macOS和IOS/iPadOS中發(fā)現(xiàn)了一個(gè)藍(lán)牙安全漏洞,該漏洞可能導(dǎo)致黑客利用藍(lán)牙鍵盤進(jìn)行注入攻擊。據(jù)調(diào)查,這個(gè)問題出現(xiàn)在配對(duì)了MagicKeyboard(妙控鍵盤)的設(shè)備上。
具體而言,在這個(gè)CVE-2023-45866漏洞中,黑客可以繞過用戶確認(rèn)步驟,讓系統(tǒng)認(rèn)為他們偽造的藍(lán)牙輸入源是已經(jīng)配對(duì)過的設(shè)備。這樣一來,黑客就能遠(yuǎn)程連接到目標(biāo)主機(jī),并在沒有授權(quán)的情況下直接控制鍵盤并輸入任意指令。
Marc Newlin解釋稱,CVE-2023-45866主要是因?yàn)榈讓铀{(lán)牙協(xié)議存在一些問題所致。由于配對(duì)過程并不需要進(jìn)行身份驗(yàn)證,黑客就能夠欺騙受害者設(shè)備,并通過偽造配對(duì)協(xié)議使得受害者設(shè)備接收來自黑客的輸入信息。
目前尚不清楚蘋果公司何時(shí)會(huì)修復(fù)此漏洞,但Marc Newlin建議所有用戶立即更新他們使用的設(shè)備上的軟件以確保自身安全。他還提醒用戶要注意在與未信任來源進(jìn)行藍(lán)牙配對(duì)時(shí)保持警惕,同時(shí)使用密碼或其他安全措施來保護(hù)自己的設(shè)備。
