安防資訊網(wǎng) 12 月 8 日消息，SkySafe 研究員 Marc Newlin 于 12 月 6 日發(fā)布 GitHub 博文，披露了一個高危的藍牙漏洞，影響安卓、iOS、Linux 和 macOS 設(shè)備。

該漏洞追蹤編號為 CVE-2023-45866，是一種身份繞過漏洞，可以追溯到 2012 年，攻擊者利用該漏洞，可以在未經(jīng)用戶確認的情況下，誘騙藍牙主機狀態(tài)，從而配對虛假鍵盤，注入攻擊以受害者的身份執(zhí)行代碼。

Newlin 表示在藍牙規(guī)范中，配對機制底層未經(jīng)身份驗證，從而被攻擊者利用。他表示，完整的漏洞細節(jié)和概念驗證腳本會在后續(xù)的會議上公開演示。

Cyware 總監(jiān)艾米麗?菲爾普斯（Emily Phelps）表示，攻擊者利用該漏洞，在無需身份驗證的情況下，可以遠程控制受害者的設(shè)備，具體取決于系統(tǒng)，可以下載應(yīng)用程序、發(fā)送消息或運行各種命令。

IT之家此前報道，谷歌發(fā)布的 12 月安卓安全更新，已經(jīng)修復(fù)了 CVE-2023-45866 漏洞。此外關(guān)于該漏洞的更詳細信息，可以訪問 GitHub 博文。