Эта уязвимость касается Bluetooth.
Исследователь Марк Ньюлин обнаружил, что в подавляющее большинство современных стационарных и мобильных операционных систем позволяют злоумышленнику имитировать подключение Bluetooth-клавиатуры к устройству и имитировать нажатие клавиш. Для этого ему не надо знать какие-либо логины и пароли. Он может устанавливать приложения, выполнять произвольные команды, пересылать сообщения и т.д.
Что для этого требуется хакеру? Только компьютер на базе операционной системы Linux с Bluetooth-адаптером.
Какие системы и при каких условиях уязвимы?
Android — когда включен Bluetooth.
iOS и MacOS — когда включен Bluetooth и с устройством сопряжена (то есть ранее подключалась) беспроводная клавиатура Apple Magic Keyboard.
Linux — когда Bluetooth включен и доступен для обнаружения.
Теперь о грустном.
- Компания Google хоть и исправила эту уязвимость, но только в Android версии 11-14. Для версий с 4.2.2 по 10 исправление отсутствует. Поэтому если у вас старое устройство, то вы можете быть подвержены атаке.
- Компания Apple пока не выпускала никаких исправлений для iOS и MacOS. Следовательно, если вы пользуетесь/пользовались Apple Magic Keyboard — ваше устройство уязвимо.
Рекомендации можем дать следующие:
- для владельцев Android — внимательно следить за обновлениями Android от вашего производителя и применить его сразу после выхода.
- для владельцев iOS и MacOS — если у вас нет серьезной необходимости использовать Apple Magic Keyboard, то лучше удалить ее из списка сопряженных устройств.
А если посмотреть на эту ситуацию шире, то выявленная уязвимость вновь напоминает нам о том, что постоянно включенный Bluetooth является потенциальным каналом взлома вашего устройства. Как-то мы стали об этом забывать со всеми беспроводными наушниками и мышками…
