En kritisk Bluetooth-sikkerhedsfejl kan udnyttes af trusselsaktører til at tage kontrol over Android, Linux, macOS og iOS-enheder. Det skriver The Hacker News.
Fejlen har id’et CVE-2023-45866 og ifølge ’The Final Hop’ en CVSS-score på 8,8. Den vedrører omgåelse af godkendelse, der gør det muligt for angribere at oprette forbindelse til modtagelige enheder og indsætte tastetryk mhp. at opnå rettigheder til afvikling af kode.
Det israelske sikkerhedsfirma Armis har identificeret to kritiske sårbarheder (CVE-2018-16986 og CVE-2018-7080) i Bluetooth Low Energy (BLE)-chips, der er indbygget i massevis af netværksopkoblede enheder.
Det er enheder, der spreder sig fra medicinsk udstyr som insulinpumper og pacemakere til mere gængse IoT-enheder eller access points.
De to svagheder er blevet døbt BleedingBit, og de kan potentielt give eksterne angribere mulighed for at afvikle ondsindet kode på sårbare systemer. Det er muligt, at få fuld kontrol over sårbare enheder uden godkendelse.
Lenovo har udsendt rettelser, som lukker for BlueBorne-sårbarhederne, der efterhånden har eksisteret i ni måneder.
Lenovo er verdens 3. største producent af Andriod-baserede tablet-computere, og det er netop denne gruppe, blandt andet tre Yoga-modeller, der er mål for rettelserne.
Lenovo fortæller selv til Threatpost at med denne omgang rettelser, skulle alle firmaets modeller være beskyttet.
Sikkerhedsfirmaet Armis Labs har opdaget otte sårbarheder i implementeringer af Bluetooth-protokollen. De findes i Linux, Android, Windows, iOS og tvOS.
Producenterne har offentliggjort opdateringer, der lukker hullerne.
Angribere kan udnytte sårbarhederne til at afvikle skadelige programmer på enhederne eller udføre man-in-the-middle-angreb. Det kræver kun, at Bluetooth er aktiveret på enheden.
Angribere skal være fysisk i nærheden af enheden for at kunne udnytte sårbarhederne.