Siber Muhbir

CVE-2023-45866 olarak izlenen sorun, saldırganların hassas cihazlara bağlanmasına ve kurban olarak kod yürütmeyi başarmak için tuş vuruşları enjekte etmesine olanak tanıyan bir kimlik doğrulama atlama vakasıyla ilgilidir.

Ağustos 2023'te yazılım satıcılarına kusurları açıklayan güvenlik araştırmacısı Marc Newlin, "Birden fazla Bluetooth yığını, bir saldırganın kullanıcı onayı olmadan keşfedilebilir bir ana bilgisayara bağlanmasına ve tuş vuruşları enjekte etmesine izin veren kimlik doğrulama atlama güvenlik açıklarına sahiptir" dedi.

Özellikle, saldırı, Bluetooth spesifikasyonunda tanımlanan "kimliği doğrulanmamış bir eşleştirme mekanizmasından" yararlanarak hedef cihazı bir Bluetooth klavyeye bağlı olduğunu düşünmesi için kandırır.

Kusurun başarılı bir şekilde kullanılması, fiziksel olarak yakın olan bir düşmanın savunmasız bir cihaza bağlanmasına ve uygulamaları yüklemek ve rastgele komutlar çalıştırmak için tuş vuruşlarını iletmesine izin verebilir.

Saldırının herhangi bir özel donanım gerektirmediğini ve normal bir Bluetooth adaptörü kullanılarak bir Linux bilgisayardan gerçekleştirilebileceğini belirtmekte fayda var. Kusurun ek teknik ayrıntılarının gelecekte açıklanması bekleniyor.

Güvenlik açığı, Android (Kasım 2012'de piyasaya sürülen 4.2.2 sürümüne geri dönüyor), iOS, Linux ve macOS çalıştıran çok çeşitli cihazları etkiliyor.

Ayrıca, Bluetooth etkinleştirildiğinde ve bir Magic Keyboard savunmasız cihazla eşlendiğinde hata macOS ve iOS'u etkiler. Ayrıca, karmaşık dijital tehditlere karşı koruma sağlamayı amaçlayan Apple'ın Kilitleme Modunda da çalışır.

Google, bu ay yayınlanan bir danışma belgesinde, CVE-2023-45866'nın "ek yürütme ayrıcalıklarına gerek kalmadan uzaktan (yakın/bitişik) ayrıcalık yükselmesine yol açabileceğini" söyledi.