Bluetooth, una vulnerabilità consente di assumere il controllo di miliardi di dispositivi

Una vulnerabilità critica Bluetooth consente agli aggressori di assumere il controllo di dispositivi Android, Linux, macOS e iOS (inclusi i dispositivi in ​​modalità di blocco). 

La vulnerabilità

La vulnerabilità tracciata come CVE-2023-45866 è stata divulgata dal ricercatore di sicurezza Marc Newlin. Newlin ha spiegato nel suo post su GitHub che più stack Bluetooth presentavano vulnerabilità di bypass dell’autenticazione. Sfruttando un meccanismo di accoppiamento non autenticato e definito nelle specifiche Bluetooth, sarebbe possibile indurre il dispositivo target ad accettare un collegamento verso una falsa tastiera bluetooth. In pratica un utente malintenzionato nelle immediate vicinanze potrebbe connettersi e inserire sequenze di tasti, e potenzialmente installare app o eseguire comandi arbitrari. Lo sfruttamento di tale vulnerabilità non richiederebbe hardware specializzato ma solo un adattatore Bluetooth standard su un computer Linux e i dispositivi senza patch sarebbero vulnerabili nelle seguenti condizioni:

  • I dispositivi Android se il Bluetooth è abilitato;
  • I dispositivi Linux/BlueZ quando richiedono che il Bluetooth sia rilevabile/connettibile;
  • I dispositivi iOS/macOS quando il Bluetooth è abilitato e una Magic Keyboard è stata abbinata al telefono o al computer.

Impatto e correzioni

Mentre esiste una correzione per la vulnerabilità di Linux dal 2020 (CVE-2020-0556), sorprendentemente lasciata disabilitata per impostazione predefinita fino all’ultima patch BlueZ per CVE-2023-45866 e Google annuncia che “tutti i dispositivi Pixel attualmente supportati riceveranno questa correzione tramite gli aggiornamenti OTA di dicembre“, il ricercatore fa sapere di non essere a conoscenza dell’intera portata e della cronologia delle vulnerabilità di Apple, avendo potuto testare solo le versioni più recenti di macOS e iOS.

In ogni caso si tratta di una grave vulnerabilità per la sicurezza della tecnologia Bluetooth che espone a potenziali rischi una vasta gamma di dispositivi:

  • Pixel 7 con Android 14
  • Pixel 6 con Android 13
  • Pixel 4a (5G) con Android 13
  • Pixel 2 con Android 11
  • Pixel 2 con Android 10
  • Nexus 5 con Android 6.0.1
  • BLU DASH 3.5 con Android 4.2.2
  • Ubuntu 18.04, 20.04, 22.04, 23.10
  • MacBook Pro 2022 con MacOS 13.3.3 (M2)
  • MacBook Air 2017 con macOS 12.6.7 (Intel)
  • iPhone SE con iOS 16.6

I dettagli completi dell’exploit e gli script di prova verranno rilasciati prossimamente.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.