Selon les ingénieurs logiciels de la société de technologie de drones SkySafe, une vulnérabilité de contournement de l'authentification Bluetooth vieille de plusieurs années permet à des acteurs malveillants de se connecter à des appareils Apple, Android et Linux et d'injecter des frappes au clavier pour exécuter des commandes arbitraires. Marc Newlin, qui a découvert la vulnérabilité et l'a signalée à Apple, Google, Canonical et Bluetooth SIG, a déclaré que la vulnérabilité, identifiée comme CVE-2023-45866, ne nécessite aucun matériel spécial pour être exploitée et que l'attaque peut être menée sur une machine Linux à l'aide d'un adaptateur Bluetooth ordinaire.

Newlin a déclaré qu'il fournirait des détails sur la vulnérabilité et un code de validation lors d'une prochaine conférence, mais espérait attendre jusqu'à ce que toutes les vulnérabilités aient été corrigées. Cette attaque permet à un intrus à proximité d'injecter des frappes au clavier et d'effectuer des actions malveillantes sur l'appareil de la victime, à condition que ces actions ne nécessitent pas de mot de passe ou de vérification biométrique.

Dans un article GitHub publié mercredi, le chasseur de bugs a décrit la faille de sécurité de cette façon :

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

"La vulnérabilité fonctionne en incitant la machine à états hôte Bluetooth à s'associer à un faux clavier sans confirmation de l'utilisateur. Le mécanisme d'appariement sous-jacent non vérifié est défini dans la spécification Bluetooth, et une vulnérabilité implémentée exposerait ce mécanisme à un attaquant."

Newlin a découvert un ensemble similaire de vulnérabilités Bluetooth en 2016. Surnommées « MouseJack », ces vulnérabilités exploitent les vulnérabilités d'injection de frappe dans les souris et claviers sans fil de 17 fournisseurs différents.

Cependant, CVE-2023-45866 est antérieur à MouseJack. Newlin a déclaré avoir testé BLUDASH 3.5 exécutant le système Android 4.2.2 sorti en 2012 et découvert qu'il présentait cette vulnérabilité. En fait, il n'y a aucun correctif pour Android 4.2.2-10.

Google a publié la déclaration suivante à Newlin : "Les correctifs pour ces problèmes affectant Android 11 à 14 sont disponibles pour les OEM concernés. Tous les appareils Pixel actuellement pris en charge recevront le correctif via une mise à jour OTA de décembre."

Vous trouverez ci-dessous les détails publiés dans l'avis de sécurité Android, où la vulnérabilité est considérée comme hautement critique.

https://source.android.com/docs/security/bulletin/2023-12-01

Bien que le problème ait été résolu sous Linux en 2020, Newlin a déclaré que ChromeOS est le seul système d'exploitation basé sur Linux avec le correctif activé. D'autres distributions Linux, notamment Ubuntu, Debian, Fedora, Gentoo, Arch et Alpine, le désactivent par défaut. Il est rapporté que Ubuntu18.04, 20.04, 22.04 et 23.10 présentent encore des vulnérabilités.

La vulnérabilité affecte également macOS et iOS lorsque Bluetooth est activé et que le MagicKeyboard est associé à un téléphone ou un ordinateur vulnérable. Surtout, la vulnérabilité fonctionne également dans le mode LockDown d'Apple, qui, selon Apple, protège les appareils contre les attaques sophistiquées.

Newlin a révélé le problème à Apple en août. Apple a confirmé son rapport mais n'a pas encore partagé de calendrier pour un correctif pour la vulnérabilité.