Uma vulnerabilidade de desvio de autenticação Bluetooth de anos permite que atores mal-intencionados se conectem a dispositivos Apple, Android e Linux e injetem pressionamentos de teclas para executar comandos arbitrários, de acordo com engenheiros de software da empresa de tecnologia de drones SkySafe. Marc Newlin, que descobriu a vulnerabilidade e a relatou à Apple, Google, Canonical e Bluetooth SIG, disse que a vulnerabilidade, rastreada como CVE-2023-45866, não requer nenhum hardware especial para ser explorada, e o ataque pode ser concluído em uma máquina Linux usando um adaptador Bluetooth comum.

Newlin disse que forneceria detalhes de vulnerabilidade e código de prova de conceito em uma próxima conferência, mas espera esperar até que todas as vulnerabilidades sejam corrigidas. Este ataque permite que um intruso próximo insira teclas digitadas e execute ações maliciosas no dispositivo da vítima, desde que essas ações não exijam senha ou verificação biométrica.

Em uma postagem do GitHub publicada na quarta-feira, o caçador de bugs descreveu a falha de segurança desta forma:

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

“A vulnerabilidade funciona enganando a máquina de estado do host Bluetooth para emparelhar com um teclado falso sem a confirmação do usuário. O mecanismo de emparelhamento não verificado subjacente é definido na especificação Bluetooth, e uma vulnerabilidade implementada exporia esse mecanismo a um invasor.”

Newlin descobriu um conjunto semelhante de vulnerabilidades de Bluetooth em 2016. Apelidadas de “MouseJack”, as vulnerabilidades exploram vulnerabilidades de injeção de teclas em mouses e teclados sem fio de 17 fornecedores diferentes.

No entanto, CVE-2023-45866 é anterior ao MouseJack. Newlin disse que testou o BLUDASH 3.5 rodando o sistema Android 4.2.2 lançado em 2012 e descobriu que ele tinha essa vulnerabilidade. Na verdade, não há correções para o Android 4.2.2-10.

O Google emitiu a seguinte declaração para Newlin: “Correções para esses problemas que afetam o Android 11 a 14 estão disponíveis para OEMs afetados. Todos os dispositivos Pixel atualmente suportados receberão a correção por meio de uma atualização OTA de dezembro.”

Abaixo estão os detalhes publicados no comunicado de segurança do Android, onde a vulnerabilidade é classificada como altamente crítica.

https://source.android.com/docs/security/bulletin/2023-12-01

Embora o problema tenha sido corrigido no Linux em 2020, Newlin disse que o ChromeOS é o único sistema operacional baseado em Linux com a correção habilitada. Outras distribuições Linux, incluindo Ubuntu, Debian, Fedora, Gentoo, Arch e Alpine, desabilitam-no por padrão. É relatado que Ubuntu18.04, 20.04, 22.04 e 23.10 ainda apresentam vulnerabilidades.

A vulnerabilidade também afeta macOS e iOS quando o Bluetooth está ativado e o MagicKeyboard está emparelhado com um telefone ou computador vulnerável. Crucialmente, a vulnerabilidade também funciona no modo LockDown da Apple, que a Apple afirma proteger os dispositivos contra ataques sofisticados.

Newlin revelou o problema à Apple em agosto. A Apple confirmou seu relatório, mas ainda não compartilhou um cronograma para um patch para a vulnerabilidade.