ከሰባት አመት በፊት የMouseJack ተጋላጭነትን ያገኘው ማርክ ኒውሊን የአንድሮይድ፣ሊኑክስ፣ማክኦኤስ እና አይኦኤስ የብሉቱዝ ቁልል ላይ ተጽእኖ ስለሚያሳድር ተመሳሳይ ተጋላጭነት (CVE-2023-45866) እና በ በኩል የተገናኘውን የግቤት መሳሪያ እንቅስቃሴን በማስመሰል የቁልፍ ጭነቶችን እንዲተካ በመፍቀድ መረጃን ይፋ አድርጓል። ብሉቱዝ. በቁልፍ ሰሌዳ ግብአት መዳረሻ አንድ አጥቂ በሲስተሙ ላይ ትዕዛዞችን ማስኬድ፣ አፕሊኬሽኖችን መጫን እና መልዕክቶችን ማዛወር ያሉ ድርጊቶችን ማከናወን ይችላል።
ተጋላጭነቱ የተፈጠረው የብሉቱዝ መሳሪያዎች ኤችአይዲ (Human Interface Device) ሾፌሮች የርቀት መቆጣጠሪያ መሳሪያን ያለማረጋገጫ ኢንክሪፕትድ የተደረጉ ግንኙነቶችን ለመፍጠር እና ለመመስረት የሚያስችል ሞድ ስላላቸው ነው። ከሌሎች ነገሮች በተጨማሪ በዚህ መንገድ የተገናኙ መሳሪያዎች የኪቦርድ መልእክቶችን ማስተላለፍ ይችላሉ እና የኤችአይዲ ቁልል ያስኬዳቸዋል ይህም ያለተጠቃሚ ጣልቃገብነት የሚደረገውን የርቀት ኤችአይዲ መልእክት ምትክ ጥቃት ለማደራጀት ያስችላል። ጥቃቱ ሊፈፀም የሚችለው አጥቂው ከተጠቂው እስከ 100 ሜትር ርቀት ላይ በሚሆንበት ጊዜ ነው.
መሣሪያዎችን ያለማረጋገጫ የማጣመር ዘዴ በብሉቱዝ ዝርዝር ውስጥ ይገለጻል እና እንደ ብሉቱዝ ቁልል ቅንጅቶች ከተጠቃሚው ማረጋገጫ ሳይኖር መሣሪያውን እንዲያገናኙ ያስችልዎታል። በሊኑክስ ላይ የብሉዝ ብሉቱዝ ቁልልን ለፀጥታ ለማጣመር ሲጠቀሙ የብሉቱዝ አስማሚው በግኝት እና በማጣመር ሁነታ ላይ መሆን አለበት። በአንድሮይድ ላይ በቀላሉ የብሉቱዝ ድጋፍን ማንቃት ያስፈልግዎታል። በ iOS እና macOS ላይ ጥቃቱን ለማከናወን ብሉቱዝ ማብራት እና ገመድ አልባ ቁልፍ ሰሌዳ መገናኘት አለበት።
በብሉዝ ፓኬጅ ላይ የተመሰረተ የብሉቱዝ ቁልል በኡቡንቱ 18.04፣ 20.04፣ 22.04 እና 23.10 የግብአት መተካት ታይቷል። በውስጡ ያሉት የብሉቱዝ ቁልል ቅንጅቶች ያለ ማረጋገጫ ግንኙነቶችን ስለማይፈቅዱ ChromeOS ለተጋላጭነት የተጋለጠ አይደለም። በአንድሮይድ ውስጥ ተጋላጭነቱ ከ4.2.2 እስከ 14 የመሳሪያ ስርዓት ስሪቶች ያላቸውን መሳሪያዎች ይነካል።በማክኦኤስ ውስጥ ተጋላጭነቱ በማክቡክ ፕሮ 2022 ከ Apple M2 CPU እና macOS 13.3.3 እና MacBook Air 2017 ከኢንቴል ሲፒዩ እና ከማክኦኤስ 12.6.7 ጋር ታይቷል። 16.6. በ iOS ውስጥ, ተጋላጭነቱ በ iPhone SE ከ iOS XNUMX ጋር ታይቷል. የመቆለፊያ ሁነታን ማንቃት በ macOS እና iOS ላይ ከሚደርሱ ጥቃቶች አይከላከልም።
በሊኑክስ ላይ፣ ተጋላጭነቱ በብሉዝ ኮድ ቤዝ ውስጥ የ"ClassicBondedOnly" ቅንብርን ወደ "እውነት" በማቀናበር፣ ከተጣመሩ በኋላ ብቻ ግንኙነቶችን መፍጠር የሚያስችል ደህንነቱ የተጠበቀ ሁነታን በማዘጋጀት ተስተካክሏል። ቀደም ሲል, ወደ "ውሸት" ተቀናብሯል, ይህም ደህንነትን በመቀነስ ወጪ, ከአንዳንድ የግቤት መሳሪያዎች ጋር የተኳሃኝነት ችግሮችን ፈትቷል.
በቅርብ ጊዜ አንድሮይድ የተለቀቁት የፍሎራይድ ብሉቱዝ ቁልል ለሁሉም የተመሰጠሩ ግንኙነቶች ማረጋገጥን በመጠየቅ ተጋላጭነቱን ይቀርፋል። ጥገናዎች ለአንድሮይድ የሚመነጩት ከ11-14 ቅርንጫፎች ብቻ ነው። ለ Pixel መሳሪያዎች ተጋላጭነቱ በዲሴምበር firmware ማሻሻያ ላይ ተስተካክሏል። አንድሮይድ ከ4.2.2 እስከ 10 ለሚለቀቀው ተጋላጭነቱ እንዳልተሸፈነ ይቆያል።
ምንጭ: opennet.ru
