四個月未修復(fù)，安全公司曝光蘋果 iOS/macOS 藍(lán)牙鍵盤注入漏洞

來源：互聯(lián)網(wǎng)   發(fā)布日期：2023-12-09 08:22:44   瀏覽：23580次  

IT之家 12 月 8 日消息，SkySafe 軟件工程師 Marc Newlin今日披露了一個藍(lán)牙安全漏洞 CVE-2023-45866，該安全漏洞涉及蘋果macOS及 iOS / iPadOS操作系統(tǒng)，允許黑客利用藍(lán)牙鍵盤發(fā)動注入攻擊。

▲ 圖源 相關(guān) GitHub 頁面

Marc Newlin 聲稱，他在今年 8 月就發(fā)現(xiàn)了這一漏洞并提交至蘋果公司，但蘋果公司直到今日都未修復(fù)相關(guān)漏洞，因此他最終決定公開該漏洞。

IT之家發(fā)現(xiàn)，這一 CVE-2023-45866 漏洞，主要波及配對了MagicKeyboard（妙控鍵盤）的設(shè)備，黑客可以利用漏洞繞過用戶確認(rèn)步驟，讓系統(tǒng)以為黑客偽造的藍(lán)牙輸入源是已經(jīng)配對的妙控鍵盤，從而允許黑客直接連接到目標(biāo)主機，遠(yuǎn)程接管用戶鍵盤，并輸入任意按鍵指令。

Marc Newlin 聲稱，CVE-2023-45866 主要是由于藍(lán)牙協(xié)議底層漏洞導(dǎo)致，由于底層配對機制不需要經(jīng)過身份驗證，因此黑客能夠欺騙受害者設(shè)備，通過偽造配對協(xié)議，從而讓受害者設(shè)備接收來自黑客的輸入信息。

贊助本站