作者: 巨木擎天 时间: 2023-12-15
近日,一位名为Marc Newlin的软件工程师在GitHub上公开了一个严重的蓝牙安全漏洞,该漏洞影响了苹果的iOS/iPadOS和macOS三大操作系统,允许黑客利用蓝牙键盘进行注入攻击,远程控制受害者的设备。
iOS蓝牙漏洞被曝光
近日,一位名为Marc Newlin的软件工程师在GitHub上公开了一个严重的蓝牙安全漏洞,该漏洞影响了苹果的iOS/iPadOS和macOS三大操作系统,允许黑客利用蓝牙键盘进行注入攻击,远程控制受害者的设备。
据Newlin介绍,这个漏洞的编号为CVE-2023-45866,是一种身份绕过漏洞,主要涉及配对了MagicKeyboard(妙控键盘)的设备。黑客可以利用这个漏洞,欺骗设备认为他们伪造的蓝牙输入源是已经配对的妙控键盘,从而绕过用户的确认步骤,直接连接到目标主机,执行任意按键指令。
Newlin称,这个漏洞是由于蓝牙协议的底层设计缺陷导致的,由于配对机制不需要经过身份验证,因此黑客可以通过伪造配对协议,诱骗受害者设备接收来自黑客的输入信息。
Newlin表示,他在今年8月就发现了这个漏洞,并向苹果公司报告了这个问题,但苹果公司直到现在都没有修复这个漏洞,因此他决定公开这个漏洞,以提醒用户注意安全风险。
据悉,这个漏洞可以追溯到2012年,影响了iOS 5及以上版本,macOS 10.7及以上版本,以及其他使用蓝牙4.0及以上版本的设备。
目前,苹果公司仍未对这个漏洞发表任何声明或发布任何修复补丁。使用蓝牙键盘的用户应注意保护设备,避免被黑客攻击。
0