Apple ha solucionado un fallo en el Magic Keyboard que permitía monitorizar el tráfico Bluetooth
15 de enero de 2024
Apple ha abordado una vulnerabilidad de inyección de teclado Bluetooth recientemente revelada con una versión de firmware para el Magic Keyboard.
Apple ha lanzado una actualización de firmware para Magic Keyboard 2.0.6 para solucionar un problema de inyección de teclado Bluetooth recientemente revelado y registrado como CVE-2024-0230.
La falla es un problema de gestión de sesión que puede ser aprovechado por un atacante con acceso físico al accesorio para extraer su clave de emparejamiento Bluetooth y espiar el tráfico Bluetooth.
El gigante de TI abordó la falla mejorando los procesos de escaneo.
«Un atacante con acceso físico al accesorio puede extraer su clave de emparejamiento de Bluetooth y monitorear el tráfico de Bluetooth». está leyendo Tutor Publicado por la empresa.
La vulnerabilidad fue descubierta por Mark Newlin de SkySafe.
Un atacante que se encuentre muy cerca de la víctima puede explotar Bluetooth no autenticado para conectarse a un dispositivo vulnerable e inyectar pulsaciones de teclas, permitiendo acciones como instalar aplicaciones, ejecutar comandos arbitrarios, reenviar mensajes y más.
«Las vulnerabilidades funcionan engañando a una máquina de estado host Bluetooth para que se empareje con un teclado falso sin la confirmación del usuario. El mecanismo de emparejamiento subyacente no autenticado se especifica en la especificación de Bluetooth y está expuesto a errores específicos de implementación por parte del atacante». para explicar Newlyn. “Los dispositivos sin parches son vulnerables en las siguientes condiciones:
- Androide Los dispositivos son vulnerables cuando Bluetooth está habilitado
- Linux/azules Requiere que Bluetooth sea reconocible/conectable
- departamento de control interno Y Mac «Estás en riesgo cuando Bluetooth está habilitado y el Magic Keyboard está emparejado con tu teléfono o computadora».
La actualización de firmware Magic Keyboard 2.0.6 está disponible para lo siguiente: Magic Keyboard; Teclado mágico (2021); Teclado mágico con teclado numérico; Teclado mágico con Touch ID; Y el Magic Keyboard con Touch ID y teclado numérico.
El investigador señaló que el modo de bloqueo no impide que los ataques aprovechen esta falla.
No está claro si la falla ha sido aprovechada en ataques terrestres.
Sigueme en Twitter: @seguridadaffairs Y Facebook Y Mastodonte
(Asuntos de seguridad – piratería y bluetooth)
«Food ninja. Freelance pop culture fanatic. Wannabe zombie maven. Twitter aficionado.»
More Stories
La red social Butterflies AI añade una función que te convierte en un personaje de inteligencia artificial
Edición del vigésimo aniversario de Hautlence HLXX: redefiniendo el tiempo con minutos que retroceden y horas saltantes
Un marco para resolver ecuaciones diferenciales parciales equivalentes puede guiar el procesamiento y la ingeniería de gráficos por computadora