近日,苹果公司旗下的操作系统macOS和IOS/iPadOS中发现了一个蓝牙安全漏洞,该漏洞可能导致黑客利用蓝牙键盘进行注入攻击。据调查,这个问题出现在配对了MagicKeyboard(妙控键盘)的设备上。
具体而言,在这个CVE-2023-45866漏洞中,黑客可以绕过用户确认步骤,让系统认为他们伪造的蓝牙输入源是已经配对过的设备。这样一来,黑客就能远程连接到目标主机,并在没有授权的情况下直接控制键盘并输入任意指令。
Marc Newlin解释称,CVE-2023-45866主要是因为底层蓝牙协议存在一些问题所致。由于配对过程并不需要进行身份验证,黑客就能够欺骗受害者设备,并通过伪造配对协议使得受害者设备接收来自黑客的输入信息。
目前尚不清楚苹果公司何时会修复此漏洞,但Marc Newlin建议所有用户立即更新他们使用的设备上的软件以确保自身安全。他还提醒用户要注意在与未信任来源进行蓝牙配对时保持警惕,同时使用密码或其他安全措施来保护自己的设备。
