Eine seit Jahren bestehende Schwachstelle zur Umgehung der Bluetooth-Authentifizierung ermöglicht es böswilligen Akteuren, sich mit Apple-, Android- und Linux-Geräten zu verbinden und Tastenanschläge einzuschleusen, um beliebige Befehle auszuführen, so die Softwareentwickler des Drohnentechnologieunternehmens SkySafe. Marc Newlin, der die Schwachstelle entdeckte und sie Apple, Google, Canonical und der Bluetooth SIG meldete, sagte, dass die Schwachstelle, die als CVE-2023-45866 verfolgt wird, keine spezielle Hardware zum Ausnutzen erfordert und der Angriff auf einem Linux-Rechner mit einem gewöhnlichen Bluetooth-Adapter durchgeführt werden kann.

Newlin sagte, er werde auf einer bevorstehenden Konferenz Details zu Schwachstellen und Proof-of-Concept-Code bereitstellen, hoffe jedoch, damit zu warten, bis alle Schwachstellen behoben seien. Dieser Angriff ermöglicht es einem Eindringling in der Nähe, Tastenanschläge einzuschleusen und böswillige Aktionen auf dem Gerät des Opfers auszuführen, sofern für diese Aktionen weder ein Passwort noch eine biometrische Überprüfung erforderlich sind.

In einem am Mittwoch veröffentlichten GitHub-Beitrag beschrieb der Bug Hunter die Sicherheitslücke folgendermaßen:

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

„Die Sicherheitslücke funktioniert, indem sie die Bluetooth-Host-Zustandsmaschine dazu verleitet, sich ohne Benutzerbestätigung mit einer gefälschten Tastatur zu koppeln. Der zugrunde liegende, nicht überprüfte Kopplungsmechanismus ist in der Bluetooth-Spezifikation definiert, und eine implementierte Sicherheitslücke würde diesen Mechanismus einem Angreifer aussetzen.“

Newlin entdeckte 2016 eine ähnliche Reihe von Bluetooth-Schwachstellen. Die Schwachstellen mit dem Namen „MouseJack“ nutzen Schwachstellen durch Tastatureingabe in drahtlosen Mäusen und Tastaturen von 17 verschiedenen Anbietern aus.

CVE-2023-45866 ist jedoch älter als MouseJack. Newlin sagte, er habe BLUDASH 3.5 mit dem 2012 veröffentlichten Android 4.2.2-System getestet und festgestellt, dass es diese Sicherheitslücke aufwies. Tatsächlich gibt es keine Korrekturen für Android 4.2.2-10.

Google gab gegenüber Newlin die folgende Erklärung ab: „Korrekturen für diese Probleme, die Android 11 bis 14 betreffen, stehen den betroffenen OEMs zur Verfügung. Alle derzeit unterstützten Pixel-Geräte erhalten die Korrektur durch ein OTA-Update im Dezember.“

Nachfolgend finden Sie die im Android-Sicherheitshinweis veröffentlichten Details, in denen die Schwachstelle als äußerst kritisch eingestuft wird.

https://source.android.com/docs/security/bulletin/2023-12-01

Während das Problem im Jahr 2020 unter Linux behoben wurde, ist ChromeOS laut Newlin das einzige Linux-basierte Betriebssystem, bei dem die Fehlerbehebung aktiviert ist. Andere Linux-Distributionen, einschließlich Ubuntu, Debian, Fedora, Gentoo, Arch und Alpine, deaktivieren es standardmäßig. Es wird berichtet, dass Ubuntu 18.04, 20.04, 22.04 und 23.10 immer noch Schwachstellen aufweisen.

Die Sicherheitslücke betrifft auch macOS und iOS, wenn Bluetooth aktiviert ist und das MagicKeyboard mit einem anfälligen Telefon oder Computer gekoppelt ist. Entscheidend ist, dass die Sicherheitslücke auch im LockDown-Modus von Apple funktioniert, der laut Apple Geräte vor raffinierten Angriffen schützt.

Newlin hatte das Problem bereits im August gegenüber Apple offengelegt. Apple hat seinen Bericht zwar bestätigt, aber noch keinen Zeitplan für einen Patch für die Schwachstelle bekannt gegeben.