Nel mondo della tecnologia mobile ci sono notizie preoccupanti per gli utenti di dispositivi Android, iOS, Google e Apple. Una vulnerabilità di autenticazione nel protocollo Bluetooth consente agli aggressori di connettersi a dispositivi vulnerabili e inserire tastiere virtuali. Questo problema, noto come CVE-2023-45866, consente agli aggressori nelle vicinanze di connettersi agli host rilevati tramite Bluetooth senza la conferma dell'utente.
Questa vulnerabilità è stata scoperta dall'ingegnere informatico Marc Newlin, che ha messo in guardia dal pericolo che rappresenta. Secondo Newlin, "Un utente malintenzionato nelle vicinanze può connettersi a un dispositivo vulnerabile tramite Bluetooth non autenticato e inserire sequenze di tasti per, ad esempio, installare applicazioni, eseguire comandi arbitrari o inoltrare messaggi, ecc."
L'attacco può essere eseguito utilizzando una macchina Linux e un normale adattatore Bluetooth. Un avversario potrebbe sfruttare la vulnerabilità per eseguire azioni arbitrarie, a condizione che tali azioni non richiedano una password o un'autenticazione biometrica.
Inizialmente, Newlin aveva identificato questo problema nei sistemi operativi macOS e iOS, che sono vulnerabili anche in modalità "Lockdown". Successivamente ha scoperto vulnerabilità simili in Android e Linux, scoprendo che erano il risultato di una combinazione di problemi di implementazione ed errori di protocollo.
Secondo Newlin, le vulnerabilità funzionano inducendo la macchina a stati dell'host Bluetooth ad accoppiarsi con una tastiera falsa senza la conferma dell'utente. Il meccanismo di accoppiamento non autenticato sottostante è definito nelle specifiche Bluetooth e specifici errori di implementazione lo espongono all'aggressore.
Secondo l'ingegnere sono interessati i dispositivi Android con versione a partire dalla 4.2.2, se hanno il Bluetooth abilitato. Google ha incluso patch per questa vulnerabilità negli aggiornamenti di sicurezza Android di dicembre 2023. I dispositivi che eseguono la patch di sicurezza versione 2023-12-05, disponibile per Android da 11 a 14, sono protetti da questa vulnerabilità.
Sono interessati anche i dispositivi Linux con Bluetooth impostato su "rilevabile/connettibile". Sebbene il problema sia stato risolto su questa piattaforma nel 2020 con il nome CVE-2020-0556, "la correzione è rimasta disabilitata per impostazione predefinita", afferma Newlin. Ubuntu, Debian, Fedora, Gentoo, Arch e Alpine hanno tutti annunciato patch per questa vulnerabilità, ma finora solo ChromeOS l'ha abilitata.
Per quanto riguarda macOS e iOS, sono vulnerabili anche se il Bluetooth è abilitato ed è stato effettuato un accoppiamento con una Magic Keyboard. "La modalità di blocco non impedisce questo attacco", ha avvertito Newlin.
Questa vulnerabilità è un grave minaccia per gli utenti di dispositivi Android, iOS, Google e Apple e sottolinea l'importanza di aggiornare frequentemente i sistemi operativi e di adottare misure di sicurezza adeguate per proteggere i dati e i dispositivi personali. È fondamentale che gli utenti installino gli ultimi aggiornamenti di sicurezza e siano consapevoli dei rischi del Bluetooth quando lo utilizzano in ambienti non protetti.
