Depois que a vulnerabilidade foi divulgada publicamente em dezembro, a Apple lançou uma atualização de firmware para o Magic Keyboard para evitar que invasores entrassem na falha de segurança clonando o teclado. O pesquisador de segurança Marc Newlin divulgou a vulnerabilidade à Apple e ao Google em agosto de 2023, e a divulgou publicamente em dezembro.
Na época, Newlin disse que vinha investigando e relatando vulnerabilidades não autenticadas de injeção de chave Bluetooth no macOS e iOS há meses.
O patch se aplica a MagicKeyboards regulares e estendidos, incluindo produtos com e sem TouchID. A Apple diz que o patch 2.0.6 será aplicado automaticamente quando o Magic Keyboard for emparelhado com um dispositivo Apple.
A vulnerabilidade permite que usuários com acesso físico único a um teclado Bluetooth (como MagicKeyboard) descubram a chave de emparelhamento Bluetooth. Uma vez obtido, um invasor próximo pode enganar um host Bluetooth para que emparelhe com um teclado falso sem a confirmação do usuário.
Depois que um invasor falsificar a conexão do MagicKeyboard com o Mac, ele poderá digitar as teclas à vontade. Obviamente, eles não podem fazer nada que exija a autenticação do usuário com uma senha ou Touch ID, mas fora isso, podem iniciar aplicativos, ler mensagens e baixar arquivos. As teclas digitadas ficam visíveis para o usuário, assim como ações como iniciar um aplicativo ou inserir uma combinação de comandos.
saber mais:
https://support.apple.com/en-us/HT214050