A fine novembre sono stati svelati i dettagli di BLUFFS. A distanza di circa 10 giorni, un ricercatore di SkySafe ha pubblicato alcune informazioni su una seconda vulnerabilità nel protocollo Bluetooth che consente di prendere il controllo dei dispositivi Android, Linux, macOS e iOS.
Vulnerabilità presente da 10 anni
Il ricercatore Marc Newlin di SkySafe ha scoperto il bug durante un’indagine sulla Magic Keyboard di Apple. In dettaglio, la vulnerabilità (CVE-2023-45866) è del tipo keystroke-injection. È presente sia in macOS che iOS e può essere sfruttata anche in Lockdown Mode. Successivamente ha scoperto che è presente anche in Android e Linux.
La vulnerabilità permette di collegare al dispositivo una tastiera Bluetooth fasulla senza conferma dell’utente. Questa tastiera fake è in realtà un computer Linux con adattatore Bluetooth standard. Grazie al meccanismo di pairing senza autenticazione previsto dal protocollo, un malintenzionato potrebbe “iniettare” sequenze di tasti e quindi eseguire app o comandi arbitrari sul dispositivo target.
In pratica sarebbe possibile emulare una tastiera Bluetooth e prendere il controllo dello smartphone (Android e iOS) o del computer (Linux o macOS). Dato che il bug è presente in Android 4.2.2 significa che è rimasto “nascosto” da oltre 10 anni.
Google ha rilasciato la patch all’inizio del mese per Android 11/12/13/14. La patch per Linux è stata distribuita nel 2020, ma non è stata attivata (viene attivata con la patch BlueZ). Apple non ha rilasciato ancora il fix, ma il bug viene sfruttato solo quando è collegata la Magic Keyboard.
Il ricercatore fornirà i dettagli completi e un PoC (proof of concept) durante una futura conferenza. Nel frattempo, gli utenti dovrebbero disattivare il Bluetooth in pubblico (quasi impossibile se vengono usati auricolari wireless).
Ti potrebbe interessare
11 dic 2023