最近,SkySafe的軟件工程師Marc Newlin公開了一個編號為CVE-2023-45866的藍牙安全漏洞。這一漏洞影響了蘋果的macOS以及iOS/iPadOS操作系統,使得黑客能夠通過藍牙鍵盤執行注入攻擊。

▲ 圖源 相關 GitHub 頁面

Marc Newlin透露,他在今年8月份就已經發現了CVE-2023-45866這一安全漏洞,并向蘋果公司報告了這一問題。然而,由于蘋果公司至今尚未對該漏洞進行修復,他決定將其公之于眾。據Newlin所述,CVE-2023-45866的產生主要是因為藍牙協議的一個底層漏洞。這個漏洞的關鍵在于,藍牙配對過程中不需要進行身份驗證,這使得黑客可以通過模擬配對過程欺騙目標設備。一旦配對成功,黑客就能將輸入信息發送到受害者的設備上。

漏洞主要波及配對了 MagicKeyboard(妙控鍵盤)的設備,黑客可以利用漏洞繞過用戶確認步驟,讓系統以為黑客偽造的藍牙輸入源是已經配對的妙控鍵盤,從而允許黑客直接連接到目標主機,遠程接管用戶鍵盤,并輸入任意按鍵指令。

安全漏洞 藍牙安全漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接