Existe uma vulnerabilidade na tecnologia Bluetooth que permite ignorar mecanismos de autenticação e emular pressionamentos de tecla em dispositivos Apple, bem como em gadgets que executam Android e Linux. A vulnerabilidade foi descoberta por um engenheiro da SkySafe, especializada em soluções de segurança relacionadas a drones.
Fonte da imagem: Robinraj Premchand / pixabay.com
A vulnerabilidade, à qual foi atribuído o número CVE-2023-45866, não requer nenhum equipamento especial para ser explorada – o ataque é realizado a partir de um computador rodando Linux usando um adaptador Bluetooth normal. O engenheiro Marc Newlin que descobriu o erro relatou à Apple, Google, Canonical e Bluetooth SIG. Ele está pronto para divulgar amplamente todos os detalhes sobre a vulnerabilidade e oferecer um código de amostra para sua exploração em uma das próximas conferências, mas quer esperar até que os desenvolvedores a corrijam. O ataque permite que um invasor localizado próximo ao computador da vítima emule pressionamentos de teclas e execute ações maliciosas em dispositivos que não exigem senha ou login biométrico.
«A vulnerabilidade é acionada enganando o host Bluetooth ao conectar-se a um teclado falso sem a confirmação do usuário. A especificação Bluetooth descreve um mecanismo básico de conexão sem autenticação, e bugs específicos da vulnerabilidade a abrem para um invasor”, comentou Newlin sobre sua descoberta. Em 2016, ele desenvolveu o método de ataque MouseJack, que também permite falsificar as teclas digitadas ao trabalhar com teclados e mouses de 17 fabricantes.
As raízes da nova vulnerabilidade são ainda mais profundas: o pesquisador confirmou a viabilidade do ataque em dispositivos rodando versões Android de 4.2.2 a 10 – não há solução para eles e não haverá. Para dispositivos que executam as versões 11 a 14 do Android, o Google já desenvolveu um patch que já está disponível para seus parceiros OEM e será lançado para dispositivos Pixel na atualização de dezembro. No campo do Linux, a vulnerabilidade foi corrigida em 2020, mas de todas as distribuições, só foi implementada no ChromeOS. Outros, incluindo Ubuntu, Debian, Fedora, Gentoo, Arch e Alpine, têm o patch desabilitado por padrão. Em particular, as versões de suporte de longo prazo do Ubuntu 18.04, 20.04, 22.04 e o atual 23.10 permanecem vulneráveis. A vulnerabilidade é relevante para dispositivos que executam Apple macOS e iOS quando um Magic Keyboard está conectado à máquina e o modo Apple LockDown não protege contra ele. A Apple confirmou a Newlin que recebeu sua mensagem, mas não especificou um prazo para corrigir a vulnerabilidade.