Uma falha crítica de segurança no Bluetooth poderia ser explorada por atores de ameaças para assumir o controle de dispositivos Android, Linux, macOS e iOS.
Rastreada como CVE-2023-45866, a questão está relacionada a um caso de bypass de autenticação que permite que os atacantes se conectem a dispositivos suscetíveis e injetem teclas para obter execução de código como a vítima.
“Múltiplos stacks Bluetooth têm vulnerabilidades de bypass de autenticação que permitem que um atacante se conecte a um host descoberto sem confirmação do usuário e injete teclas”, disse o pesquisador de segurança Marc Newlin, que divulgou as falhas aos fornecedores de software em agosto de 2023.
Especificamente, o ataque engana o dispositivo alvo fazendo-o pensar que está conectado a um teclado Bluetooth, aproveitando um “mecanismo de emparelhamento não autenticado” definido na especificação do Bluetooth.
A exploração bem-sucedida da falha pode permitir que um adversário em proximidade física se conecte a um dispositivo vulnerável e transmita teclas para instalar aplicativos e executar comandos arbitrários.
Vale ressaltar que o ataque não requer nenhum hardware especializado e pode ser realizado a partir de um computador Linux usando um adaptador Bluetooth comum. Detalhes técnicos adicionais da falha devem ser divulgados no futuro.
A vulnerabilidade afeta uma ampla gama de dispositivos que executam Android (remontando à versão 4.2.2, lançada em novembro de 2012), iOS, Linux e macOS.
Além disso, o bug afeta macOS e iOS quando o Bluetooth está habilitado e um Magic Keyboard foi emparelhado com o dispositivo vulnerável. Ele também funciona no Modo de Bloqueio da Apple, destinado a proteger contra ameaças digitais sofisticadas.
Em um aviso divulgado neste mês, o Google afirmou que CVE-2023-45866 “poderia levar à escalada remota (próxima/adjacente) de privilégios sem a necessidade de privilégios adicionais de execução”.
Achou este artigo interessante? Subscreva em nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.