Lỗ hổng Bluetooth mới cho phép tin tặc chiếm các thiết bị Android, Linux, macOS và iOS

www.tuoitre.vn -   15/12/2023 08:00:00 1129

Một lỗ hổng bảo mật Bluetooth nghiêm trọng có thể bị các tác nhân đe dọa khai thác để chiếm quyền kiểm soát các thiết bị Android, Linux, macOS và iOS.

Lỗ hổng Bluetooth mới cho phép tin tặc chiếm các thiết bị Android, Linux, macOS và iOS

Được theo dõi là CVE-2023-45866, sự cố liên quan đến trường hợp bỏ qua xác thực cho phép kẻ tấn công kết nối với các thiết bị nhạy cảm và thực hiện thao tác nhấn phím để thực thi mã với tư cách là nạn nhân.

Nhà nghiên cứu bảo mật Marc Newlin, người đã tiết lộ lỗ hổng cho các nhà cung cấp phần mềm vào tháng 8 năm 2023, cho biết: “Nhiều ngăn xếp Bluetooth có lỗ hổng bỏ qua xác thực cho phép kẻ tấn công kết nối với máy chủ có thể phát hiện được mà không cần xác nhận của người dùng và thực hiện thao tác nhấn phím”.

Cụ thể, cuộc tấn công đánh lừa thiết bị mục tiêu nghĩ rằng nó được kết nối với bàn phím Bluetooth bằng cách lợi dụng "cơ chế ghép nối không được xác thực" được xác định trong thông số kỹ thuật Bluetooth.

Khai thác thành công lỗ hổng có thể cho phép kẻ thù ở gần kết nối với thiết bị dễ bị tấn công và truyền các thao tác nhấn phím để cài đặt ứng dụng và chạy các lệnh tùy ý.

Điều đáng nói là cuộc tấn công không yêu cầu bất kỳ phần cứng chuyên dụng nào và có thể được thực hiện từ máy tính Linux bằng bộ chuyển đổi Bluetooth thông thường. Các chi tiết kỹ thuật bổ sung của lỗ hổng này dự kiến sẽ được công bố trong tương lai.

Lỗ hổng này ảnh hưởng đến nhiều loại thiết bị chạy Android (trở lại phiên bản 4.2.2, được phát hành vào tháng 11 năm 2012), iOS, Linux và macOS.

Hơn nữa, lỗi này ảnh hưởng đến macOS và iOS khi Bluetooth được bật và Bàn phím Magic đã được ghép nối với thiết bị dễ bị tấn công. Nó cũng hoạt động ở Chế độ LockDown của Apple, nhằm bảo vệ chống lại các mối đe dọa kỹ thuật số tinh vi.

Trong một lời khuyên được đưa ra trong tháng này, Google cho biết CVE-2023-45866 “có thể dẫn đến việc leo thang đặc quyền từ xa (gần/liền kề) mà không cần thêm đặc quyền thực thi nào”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 82
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 198
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 160
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 44
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 35
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ