近日,蘋果公司旗下的操作系統(tǒng)macOS和IOS/iPadOS中發(fā)現(xiàn)了一個藍(lán)牙安全漏洞,該漏洞可能導(dǎo)致黑客利用藍(lán)牙鍵盤進行注入攻擊。據(jù)調(diào)查,這個問題出現(xiàn)在配對了MagicKeyboard(妙控鍵盤)的設(shè)備上。
具體而言,在這個CVE-2023-45866漏洞中,黑客可以繞過用戶確認(rèn)步驟,讓系統(tǒng)認(rèn)為他們偽造的藍(lán)牙輸入源是已經(jīng)配對過的設(shè)備。這樣一來,黑客就能遠(yuǎn)程連接到目標(biāo)主機,并在沒有授權(quán)的情況下直接控制鍵盤并輸入任意指令。
Marc Newlin解釋稱,CVE-2023-45866主要是因為底層藍(lán)牙協(xié)議存在一些問題所致。由于配對過程并不需要進行身份驗證,黑客就能夠欺騙受害者設(shè)備,并通過偽造配對協(xié)議使得受害者設(shè)備接收來自黑客的輸入信息。
目前尚不清楚蘋果公司何時會修復(fù)此漏洞,但Marc Newlin建議所有用戶立即更新他們使用的設(shè)備上的軟件以確保自身安全。他還提醒用戶要注意在與未信任來源進行藍(lán)牙配對時保持警惕,同時使用密碼或其他安全措施來保護自己的設(shè)備。
