又是一天，一个蓝牙漏洞影响了全球数十亿台设备！击键注入是一种将恶意命令或击键远程注入系统以破坏或操纵其功能的方法，通常被用于未经授权的访问或控制。

蓝牙中的一个严重漏洞允许攻击者控制Android、Linux、macOS和iOS设备，包括处于锁定模式的设备。该漏洞被追踪为CVE-2023-45866，由安全研究人员Marc Newlin披露。

它使攻击者能够在无需用户确认的情况下连接到易受攻击的设备并注入击键，从而可能允许他们安装恶意应用程序、运行任意命令以及执行其他未经授权的操作（需要密码/生物识别身份验证的操作除外）。软件供应商于2023年8月收到有关该缺陷的通知。

该漏洞于2016年首次在非蓝牙无线鼠标和键盘中发现。当时，人们认为蓝牙是安全的，并被推广为易受攻击的自定义协议的更好替代方案。

2023年，一项挑战迫使Newlin专注于苹果的妙控键盘，因为它依赖蓝牙和苹果的安全声誉。初步研究显示有关蓝牙、macOS和iOS的信息有限，需要进行广泛的学习。

后来，在macOS和iOS中发现了未经身份验证的蓝牙击键注入漏洞，即使启用锁定模式，这些漏洞也可被利用。Linux和Android中也发现了类似的缺陷，这表明存在超出个别实现的更广泛的问题。蓝牙HID规范分析揭示了协议设计和实现错误的结合。

Newlin在GitHub上的帖子中解释说，多个蓝牙堆栈存在身份验证绕过漏洞。该攻击利用蓝牙规范中定义的“未经身份验证的配对机制”，欺骗目标设备接受假键盘。

这种欺骗行为允许攻击者在附近连接并注入击键，从而有可能使他们能够安装应用程序并执行任意命令。值得注意的是，未打补丁的设备在特定条件下容易受到攻击，例如：
1. Android：必须启用蓝牙。
2. Linux/BlueZ：蓝牙必须可发现/可连接。
3. iOS/macOS：必须启用蓝牙，并且必须将妙控键盘与设备配对。

这些漏洞可以通过Linux计算机上的标准蓝牙适配器来利用。值得注意的是，一些漏洞早于“MouseJack”，影响早在4.2.2 版本（2012年发布）的Android设备。

Qualys网络威胁总监Ken Dunham在发表评论时表示：“Android、Linux、MacOS和iOS中存在的两个新蓝牙漏洞使未经授权的攻击者能够执行“未经身份验证的配对”，然后可能启用执行代码并运行任意命令。”

“蓝牙攻击仅限于物理距离很近的情况。作为一种解决方法，易受攻击系统的用户可以限制其攻击面和风险，直到通过禁用蓝牙进行修补。”Dunham建议。

尽管自2020年以来就存在针对Linux漏洞的修复程序(CVE-2020-0556)，但令人惊讶的是，该修复程序默认处于禁用状态。尽管主要Linux发行版都发布了公告，但据了解只有ChromeOS实施了该修复。CVE-2023-45866的最新BlueZ补丁最终默认启用了这一关键修复。

这是一个影响大量设备的严重漏洞，暴露了蓝牙技术固有的潜在安全风险。不过，谷歌表示，“受影响的OEM可以修复影响Android 11至14的这些问题。所有当前支持的Pixel设备都将通过12月OTA更新收到此修复。”