Lỗ hổng kết nối Bluetooth tồn tại hơn 10 năm. Ảnh: Adobe Stock. |
Marc Newlin, kĩ sư phần mềm tại công ty công nghệ máy bay không người lái SkySafe, là người đã thông báo về lỗ hổng bảo mật nghiêm trọng này. Cụ thể, lỗi bảo mật mang mã CVE-2023-45866 không yêu cầu phần cứng đặc biệt nào để khai thác. Cuộc tấn công có thể xuất phát từ máy chủ Linux với đầu thu Bluetooth thông dụng.
Kĩ sư này cảnh báo đến Apple, Google, Canonical và Bluetooth SIG – tổ chức đứng sau tiêu chuẩn Bluetooth trên toàn cầu. Marc Newlin dự định cung cấp chi tiết về CVE-2023-45866 và thực thi một cuộc tấn công mẫu tại một hội nghị bảo mật sắp diễn ra nhưng sẽ trì hoãn đến khi các bên liên quan đã vá lỗi.
Một cuộc tấn công sẽ cho phép kẻ xâm nhập ở cự ly gần thao tác trên bàn phím và thực hiện hành vi gây hại thiết bị của nạn nhân, trong trường hợp hành động đó không cần xác thực bằng mật khẩu hoặc các yếu tố sinh trắc học.
“Lỗ hổng hoạt động bằng cách lừa thiết bị nhận tín hiệu Bluetooth kết nối với một bàn phím giả mà không có sự xác nhận của người dùng. Cơ chế ghép nối không cần xác thực tồn tại trong đặc tính kĩ thuật của Bluetooth và một số lỗi cài đặt cụ thể khiến cho tiêu chuẩn này bị khai thác”, Newlin tiết lộ trong bài viết đăng trên GitHub hôm 6/12.
Newlin cũng chính là người đã phát hiện ra lỗ hổng bảo mật Bluetooth tương tự vào năm 2016 mang tên MouseJack, cho phép tin tặc chiếm quyền thao tác gõ phím và sử dụng chuột từ 17 nhà cung cấp khác nhau.
Tuy nhiên, CVE-2023-45866 còn cũ hơn MouseJack. Newlin thử nghiệm với chiếc BLU DASH 3.5 chạy Android 4.2.2, phát hành vào năm 2012 và nhận thấy nó có lỗ hổng. Trên thực tế, không có cách khắc phục sự cố đối với Android 4.2.2 vì hệ điều hành này đã bị ngừng hỗ trợ.
Phản hồi trước thông tin này, Google ghi nhận lỗ hổng ở mức độ nghiêm trọng cao và nhanh chóng phát hành bản vá. “Bản sửa lỗi cho các sự cố ảnh hưởng trên Android 11-14 đã có sẵn cho tất cả OEM. Mọi thiết bị Pixel hiện còn hỗ trợ sẽ nhận bản vá thông qua cập nhật OTA vào tháng 12”, Google cho biết.
Lỗ hổng được khắc phục trên Linux từ năm 2020 nhưng ChromeOS là hệ điều hành duy nhất dựa trên nhân này kích hoạt bản sửa lỗi. Những distro phổ biến khác gồm Ubuntu, Debian, Fedora, Gentoo, Arch và Alpine mặc định tắt. Ubuntu 18.04, 20.04, 22.04, 23.10 vẫn tồn tại lỗi.
CVE-2023-45866 cũng ảnh hưởng đến macOS và iOS khi Bluetooth bật và Magic keyboard được ghép nối với điện thoại hoặc máy tính dễ bị tấn công.
Điều quan trọng là lỗ hổng tồn tại cả ở chế độ LockDown, cơ chế 'siêu bảo mật' được Apple quảng cáo có thể bảo vệ thiết bị trước các cuộc tấn công tinh vi.
Newlin thông báo vấn đề này với Apple vào tháng 8. Trao đổi với The Register, ông cho biết Apple đã xác nhận nhưng chưa chia sẻ lịch trình vá lỗi.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.