Hàng tỷ thiết bị Android và iOS có thể bị hack từ xa do lỗ hổng Bluetooth

www.tuoitre.vn -   13/12/2023 12:00:00 88

Nhà nghiên cứu bảo mật Marc Newlin đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong công nghệ Bluetooth, có thể bị hacker khai thác để chiếm quyền kiểm soát các thiết bị phổ biến hiện nay.

Hàng tỷ thiết bị Android và iOS có thể bị hack từ xa do lỗ hổng Bluetooth

Cụ thể, công nghệ Bluetooth có lỗ hổng được gán mã theo dõi là CVE-2023-45866, bỏ qua xác thực, cho phép kẻ tấn công kết nối với thiết bị mà không cần người dùng xác nhận và thực hiện thao tác nhấn phím để thực thi mã với tư cách là nạn nhân. Cuộc tấn công lợi dụng cơ chế ghép nối không được xác thực, được xác định trong thông số kỹ thuật Bluetooth đánh lừa thiết bị mục tiêu, khiến nó nghĩ rằng được kết nối với bàn phím Bluetooth.

Nếu khai thác thành công lỗ hổng, tin tặc có thể ở trong vùng kết nối Bluetooth để cài đặt ứng dụng và chạy các lệnh tùy ý bằng cách truyền các thao tác nhấn phím.

Đặc biệt, cuộc tấn công có thể thực hiện từ máy tính Linux bằng bộ chuyển đổi Bluetooth thông thường mà không yêu cầu phần cứng chuyên dụng nào.

Các thiết bị chạy Android từ phiên bản 4.2.2, iOS, Linux và macOS đều bị ảnh hưởng bởi lỗ hổng trong Bluetooth này. Trong khi chờ nhà sản xuất phát hành bản vá, cách duy nhất để hạn chế thiết bị bị hack từ xa người dùng nên tắt Bluetooth, đặc biệt là đối với các thiết bị chạy Android đời cũ (không nhận được bản vá).

Trên macOS và iOS, lỗ hổng ảnh hưởng khi Bluetooth được bật và bàn phím Apple (Magic Keyboard) đã ghép nối với thiết bị dễ bị tấn công. Thậm chí, nó cũng hoạt động ở LockDown Mode, chế độ nhằm chống lại các mối đe dọa kỹ thuật số của Apple.

Để hạn chế thiết bị macOS và iOS bị hack, người dùng nên cập nhật iOS 17.2, iPadOS 17.2 và macOS Sonoma 14.2 mới được Apple phát hành. Bản cập nhật mới nhất này có thể khắc phục hơn 50 lỗ hổng, trong đó có lỗ hổng Bluetooth kể trên.

Hàng tỷ thiết bị Android và iOS có thể bị hack từ xa do lỗ hổng Bluetooth

Loạt điểm yếu bảo mật đã được phát hiện trong công nghệ BLUFFS (Bluetooth Forward and Future Secrecy) bởi Daniele Antonioli, chuyên gia tại Viện nghiên cứu Eurecom (Pháp).

Những lỗ hổng này liên quan đến cách lấy khóa phiên kết nối Bluetooth để giải mã dữ liệu trao đổi giữa hai thiết bị, nếu hacker khai thác thành công có thể bị đánh cắp dữ liệu.

Các thiết bị sử dụng phiên bản Bluetooth từ 4.2, ra mắt tháng 12/2014, đến bản 5.4 mới phát hành tháng 2 đều bị ảnh hưởng bởi BLUFFS.

Các nhà nghiên cứu cho biết, họ phát hiện có 6 cách tấn công BLUFFS, mỗi cách sử dụng tấn công trung gian hoặc việc mạo danh thiết bị khác nhau.

Do lỗ hổng liên quan đến kiến trúc cơ bản của Bluetooth nên dù thiết bị của người dùng trang bị tính năng bảo mật Bluetooth mới nhất thì các phương pháp trên đều hiệu quả tấn công. Do đó, hàng tỷ thiết bị đều có nguy cơ bị tấn công từ máy tính bảng, laptop, smartphone cho đến tai nghe sử dụng Bluetooth.

Eurecom đã gửi báo cáo về lỗ hổng tới Bluetooth SIG, tổ chức phi lợi nhuận giám sát sự phát triển và chịu trách nhiệm cấp phép cho Bluetooth. Tổ chức này đã cảnh báo người dùng nên từ chối các kết nối không đáp ứng yêu cầu về mã khóa.

Đối với thiết bị di động, người dùng nên thường xuyên cập nhật phần mềm và tắt Bluetooth khi không sử dụng để giảm nguy cơ bị tấn công. Đồng thời người dùng cũng không nên đồng ý ghép với nguồn chưa được xác định.

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 81
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 175
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 158
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 42
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 33
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ