【智快网】12月8日消息,一项新的蓝牙漏洞已经浮出水面,可能对安卓、iOS、Linux和macOS设备构成严重威胁。这一漏洞的曝光来自SkySafe研究员Marc Newlin,他在12月6日发布的GitHub博文中详细披露了此次发现。
这个危险的漏洞被标记为CVE-2023-45866,被归类为一种身份绕过漏洞,其起源可以追溯到2012年。攻击者可以通过利用这一漏洞,在未经用户确认的情况下欺骗蓝牙主机状态,进而与虚假键盘配对,从而执行受害者身份下的恶意代码。
据了解,蓝牙规范的配对机制底层缺乏身份验证,因此成为了攻击者的攻击入口。Newlin表示,完整的漏洞细节和概念验证脚本将会在后续的会议上进行公开演示。
Cyware的总监艾米丽·菲尔普斯(Emily Phelps)指出,攻击者可以借助这一漏洞在无需身份验证的情况下,远程控制受害者的设备,具体的影响取决于受影响系统,包括但不限于下载应用程序、发送消息或运行各种命令。
谷歌已经发布了12月份的安卓安全更新,其中修复了CVE-2023-45866漏洞。对于更多有关此漏洞的详细信息,可以访问GitHub博文进行查询。
【智快网】将持续关注这一蓝牙漏洞的进展,以确保用户设备的安全性。
