Een jarenlange kwetsbaarheid voor het omzeilen van Bluetooth-authenticatie stelt kwaadwillende actoren in staat verbinding te maken met Apple-, Android- en Linux-apparaten en toetsaanslagen te injecteren om willekeurige opdrachten uit te voeren, aldus software-ingenieurs bij dronetechnologiebedrijf SkySafe. Marc Newlin, die de kwetsbaarheid ontdekte en rapporteerde aan Apple, Google, Canonical en de Bluetooth SIG, zei dat de kwetsbaarheid, getraceerd als CVE-2023-45866, geen speciale hardware vereist om te worden misbruikt, en dat de aanval kan worden uitgevoerd op een Linux-machine met behulp van een gewone Bluetooth-adapter.

Newlin zei dat hij op een komende conferentie details over de kwetsbaarheid en proof-of-concept-code zou verstrekken, maar hoopte te wachten totdat alle kwetsbaarheden zijn verholpen. Met deze aanval kan een indringer in de buurt toetsaanslagen injecteren en kwaadaardige acties uitvoeren op het apparaat van het slachtoffer, zolang voor die acties geen wachtwoord- of biometrische verificatie vereist is.

In een GitHub-post die woensdag werd gepubliceerd, beschreef de bugjager het beveiligingslek als volgt:

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

"De kwetsbaarheid werkt door de Bluetooth-hoststatusmachine te misleiden om te koppelen met een neptoetsenbord zonder bevestiging van de gebruiker. Het onderliggende, niet-geverifieerde koppelingsmechanisme is gedefinieerd in de Bluetooth-specificatie, en een geïmplementeerde kwetsbaarheid zou dit mechanisme blootstellen aan een aanvaller."

Newlin ontdekte in 2016 een vergelijkbare reeks Bluetooth-kwetsbaarheden. Deze kwetsbaarheden, genaamd "MouseJack", maken gebruik van toetsaanslaginjectiekwetsbaarheden in draadloze muizen en toetsenborden van 17 verschillende leveranciers.

CVE-2023-45866 dateert echter van vóór MouseJack. Newlin zei dat hij BLUDASH 3.5 met het Android 4.2.2-systeem uit 2012 had getest en ontdekte dat het deze kwetsbaarheid bevatte. In feite zijn er geen oplossingen voor Android 4.2.2-10.

Google heeft de volgende verklaring afgegeven aan Newlin: "Oplossingen voor deze problemen met Android 11 tot en met 14 zijn beschikbaar voor getroffen OEM's. Alle momenteel ondersteunde Pixel-apparaten zullen de oplossing ontvangen via een OTA-update van december."

Hieronder vindt u de details die zijn gepubliceerd in het Android-beveiligingsadvies, waarin de kwetsbaarheid als zeer kritiek wordt beoordeeld.

https://source.android.com/docs/security/bulletin/2023-12-01

Hoewel het probleem in 2020 in Linux was opgelost, zei Newlin dat ChromeOS het enige op Linux gebaseerde besturingssysteem is waarvoor de oplossing is ingeschakeld. Andere Linux-distributies, waaronder Ubuntu, Debian, Fedora, Gentoo, Arch en Alpine, schakelen dit standaard uit. Er wordt gemeld dat Ubuntu18.04, 20.04, 22.04 en 23.10 nog steeds kwetsbaarheden hebben.

Het beveiligingslek treft ook macOS en iOS wanneer Bluetooth is ingeschakeld en het MagicKeyboard is gekoppeld aan een kwetsbare telefoon of computer. Cruciaal is dat de kwetsbaarheid ook werkt in de LockDown-modus van Apple, die volgens Apple apparaten beschermt tegen geavanceerde aanvallen.

Newlin maakte het probleem al in augustus aan Apple bekend. Apple bevestigde zijn rapport wel, maar heeft nog geen tijdschema gedeeld voor een patch voor de kwetsbaarheid.