W technologii Bluetooth istnieje luka, która pozwala ominąć mechanizmy uwierzytelniania i emulować naciśnięcia klawiszy na urządzeniach Apple, a także na gadżetach z systemem Android i Linux. Lukę odkrył inżynier ze firmy SkySafe, która specjalizuje się w rozwiązaniach bezpieczeństwa związanych z dronami.
Luka, której przypisano numer CVE-2023-45866, do wykorzystania nie wymaga specjalnego sprzętu – atak przeprowadzany jest z komputera z systemem Linux przy użyciu zwykłego adaptera Bluetooth. Inżynier Marc Newlin, który odkrył błąd, zgłosił go firmom Apple, Google, Canonical i Bluetooth SIG. Jest gotowy szeroko nagłośnić wszystkie szczegóły dotyczące luki i zaoferować przykładowy kod do jej wykorzystania na jednej z nadchodzących konferencji, ale chce poczekać, aż programiści ją naprawią. Atak umożliwia osobie atakującej znajdującej się blisko komputera ofiary emulację naciśnięć klawiszy i wykonywanie złośliwych działań na urządzeniach, które nie wymagają hasła ani logowania biometrycznego.
„Luka powstaje w wyniku oszukania hosta Bluetooth podczas łączenia się z fałszywą klawiaturą bez potwierdzenia użytkownika. Specyfikacja Bluetooth opisuje podstawowy mechanizm połączenia bez uwierzytelniania, a błędy związane z tą luką umożliwiają atakującemu” – Newlin skomentował swoje odkrycie. W 2016 roku opracował metodę ataku MouseJack, która umożliwia także fałszowanie naciśnięć klawiszy podczas pracy z klawiaturami i myszami 17 producentów.
Korzenie nowej luki sięgają jeszcze głębiej: badacz potwierdził wykonalność ataku na urządzenia z systemem Android w wersjach od 4.2.2 do 10 – nie ma i nie będzie dla nich rozwiązania. Dla urządzeń z systemem Android w wersjach od 11 do 14 firma Google opracowała już łatkę, która jest już dostępna dla partnerów OEM i zostanie udostępniona dla urządzeń Pixel w grudniowej aktualizacji. W obozie Linuksa luka została naprawiona w 2020 roku, ale ze wszystkich dystrybucji została zaimplementowana tylko w systemie ChromeOS. Inne, w tym Ubuntu, Debian, Fedora, Gentoo, Arch i Alpine, mają domyślnie wyłączoną łatkę. W szczególności podatne są wersje Ubuntu 18.04, 20.04, 22.04 i 23.10 z długoterminowym wsparciem. Luka dotyczy urządzeń z systemem Apple macOS i iOS, gdy do komputera podłączona jest klawiatura Magic Keyboard, a tryb Apple LockDown nie chroni przed nią. Firma Apple potwierdziła Newlinowi, że otrzymała jego wiadomość, ale nie określiła ram czasowych usunięcia luki.
