פגם אבטחת Bluetooth יכול לפרוץ מכשירי אפל ולינוקס

מומחים חשפו דרך להערים על מכשיר התומך בלוטות' לחשוב שהוא התחבר למקלדת אלחוטית כשלמעשה הוא מתחבר למחשב אחר.

זה, בתורו, יאפשר למפעיל להפעיל פקודות על המכשיר, כולל הפעלת תוכנות זדוניות , על פי חוקר אבטחת הסייבר מארק ניולין, שגילה את הפגם וחשף אותו בפני ספקי תוכנת Bluetooth בקיץ שעבר. 

מעקב אחר הפגם הוא CVE-2023-45866 ומתואר כמעקף אימות. מכשירי אנדרואיד, לינוקס, macOS ו-iOS, כולם רגישים, נאמר.

בלוטות' בלחץ

"לערימות בלוטות' מרובות יש פגיעויות עוקפות אימות המאפשרות לתוקף להתחבר למארח שניתן לגלות ללא אישור משתמש ולהחדיר הקשות", אמר ניולין. 

אם התוקף קרוב מספיק פיזית לנקודת הקצה של הקורבן, הוא יכול להערים עליו לחשוב שהוא משויך למקלדת Bluetooth חדשה, ולאחר מכן להשתמש ב"מקלדת" החדשה הזו כדי להפעיל אפליקציות, פקודות שרירותיות ועוד. כל מה שצריך זה מחשב לינוקס עם מתאם בלוטות' רגיל.

גוגל פרסמה לאחרונה ייעוץ אבטחה חדש כדי למשוך את תשומת לבם של משתמשי אנדרואיד לפגם, ואמרה כי CVE-2023-45866 עלול להוביל להסלמה מרחוק של הרשאות "ללא צורך בהרשאות הפעלה נוספות".

Bluetooth קיבל הרבה עיתונות גרועה לאחרונה. רק בשבוע שעבר, חוקרים מ-Eurecom גילו שני פגמים בשם קולקטיבי BLUFFS, המאפשרים לתוקפים לבצע התחזות למכשיר או התקפות אדם-באמצע. מעקב אחר BLUFFS הוא CVE-2023-24023, ומשפיעים על מפרט ליבת Bluetooth מגרסה 4.2 ואילך. הם משפיעים על בלוטות' "ברמה בסיסית", אמרו החוקרים.

Bluetooth קיים כבר שנים ונחשב לתקן בטוח ומבוסס לתקשורת אלחוטית. לכן, ניתן לנצל פגיעויות מסוג זה כדי לסכן מיליארדי מכשירים ברחבי העולם, כולל מחשבים ניידים, סמארטפונים, חיישנים שונים המחוברים לאינטרנט ועוד.