Een recent ontdekte kwetsbaarheid in Bluetooth, CVE-2023-45866, opent de deur naar het overnemen van Android-, Apple- en Linux-devices. De ontdekking werd gedaan door securityonderzoeker Marc Newlin.
In een publicatie op GitHub maakte Newlin onlangs de Bluetooth-kwetsbaarheid CVE-2023-45866 openbaar. Door deze kwetsbaarheid te exploiteren zijn hackers in staat om authenticatie te omzeilen en zich zo met getroffen devices te verbinden. Vervolgens kunnen zij dan keystrokes injecteren om code te draaien en zelfs de devices over te nemen.
Details Bluetooth-kwetsbaarheid
De kwetsbaarheid zit in het Bluetooth-protocol in combinatie met specifieke bugs voor verschillende besturingssystemen ontdekte Marc Newlin. Met deze fout in het Bluetooth-protocol kunnen hackers een Bluetooth-toetsenbord imiteren en zich met een Bluetooth-device te verbinden, zonder dat gebruikers daar toestemming voor geven. Dit wordt ook wel een keystroke-injectie genoemd.
De Bluetooth-kwetsbaarheid treft meerdere besturingssystemen, meer specifiek Android, macOS van Apple en Linux. Android is zelfs vanaf versie 4.2.2 voor alle versies kwetsbaar als Bluetooth staat ingeschakeld.
Wat Apple-apparatuur betreft raakt de kwetsbaarheid meerdere Mac-en iPhone-modellen. Voor Linux geldt onder meer dat verschillende Ubuntu-versies kwetsbaar zijn.
Patches doorgevoerd
Verschillende leveranciers hebben inmiddels voor de publicatie van deze belangrijke kwetsbaarheid patches kunnen uitbrengen. Zo heeft Google inmiddels fixes uitgebracht voor de Android-versies 11 tot en met 14. Canonical, de leverancier van Ubuntu, heeft ook een patch doorgevoerd.
Alleen Apple heeft nog geen specifieke patches voor de Bluetooth-kwetsbaarheid gepubliceerd.
Lees ook: Apple geeft iOS-updates voor twee misbruikte zeroday-kwetsbaarheden
2 dagen geleden
