Новости CVE-2024-0230: Apple закрывает двери для несанкционированного доступа к Magic Keyboard

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Проблема с клонированием Bluetooth-соединений наконец устранена.


fnhbji36fw7oy2x12kg0h5m915pjgufc.jpg


Компания Apple Для просмотра ссылки Войди или Зарегистрируйся для Magic Keyboard, чтобы устранить уязвимость безопасности под идентификатором Для просмотра ссылки Войди или Зарегистрируйся (первоначально раскрытую как Для просмотра ссылки Войди или Зарегистрируйся ), которая позволяла злоумышленникам подделывать Bluetooth -соединения клавиатуры.

Эта уязвимость Для просмотра ссылки Войди или Зарегистрируйся , хотя о ней стало впервые известно Для просмотра ссылки Войди или Зарегистрируйся .

Исследователь в области безопасности Марк Ньюлин, который и сообщил об уязвимости, заявил, что он месяцами изучал и сообщал о проблемах с неподтверждёнными Bluetooth-соединениями в системах macOS и iOS.

Обновление, получившее номер версии 2.0.6, доступно для обычной и расширенной версий Magic Keyboard, как с Touch ID, так и без него. Пользовательские действия для установки обновления не требуются: оно автоматически устанавливается при подключении клавиатуры Magic Keyboard к устройству Apple.

Напомним, уязвимость позволяла тем, у кого был однократный физический доступ к Bluetooth-клавиатуре, например, к Magic Keyboard, определить ключ пары Bluetooth. Получив его, злоумышленник мог обмануть хост Bluetooth и подключить поддельную клавиатуру без подтверждения пользователя.

После подключения поддельной клавиатуры к Mac злоумышленник мог по своему усмотрению нажимать любые клавиши. Хотя для действий, требующих пароль или подтверждение Touch ID, такой доступ не представлял угрозы, злоумышленник всё ещё мог запускать приложения, читать сообщения и скачивать файлы с устройства жертвы.

Вводимые клавиши и выполняемые действия, такие как запуск приложений или ввод командных сочетаний, разумеется, были видны пользователю, поэтому, видимо, Apple и не спешила с выпуском официального обновления, не придав ему особой важности.
 
Источник новости
www.securitylab.ru

Похожие темы