Marc Newlin, oo ogaaday nuglaanta MouseJack toddobo sano ka hor, ayaa shaaca ka qaaday nuglaansho la mid ah (CVE-2023-45866) oo saameynaysa isku-xidhka Bluetooth-ka ee Android, Linux, macOS, iyo iOS. Waxay u oggolaanaysaa beddelka furaha iyadoo la jaanqaadaysa dhaqdhaqaaqa qalabka gelinta ee ku xiran Bluetooth. Iyada oo la heli karo gelitaanka kiiboodhka, weeraryahanku wuxuu samayn karaa falal sida socodsiinta amarrada nidaamka, rakibidda codsiyada, iyo wareejinta farriimaha.
Nuglaanta waxaa sababa hab ku jira darawallada HID (Aaladda Is-dhexgalka Aadanaha) ee Bluetooth-ka oo u oggolaanaya qalabka fog fog inuu abuuro oo uu aasaaso xiriiro sir ah iyada oo aan la xaqiijin. Waxyaabaha kale, aaladaha ku xiran habkan ayaa gudbin kara farriimaha kiiboodhka, kuwaas oo HID-ku uu ku kaydiyo, taasoo suurtogalinaysa weerar beddelka farriimaha fog ee HID iyada oo aan la dhexgelin isticmaalaha. Weerarka waxaa laga qaadi karaa ilaa 100 mitir meel u jirta dhibbanaha.
Habka isku-xidhka qalabka aan la xaqiijin waxaa lagu qeexay qeexitaanka Bluetooth, iyadoo ku xiran dejimaha isku-xidhka Bluetooth-ka, wuxuu u oggolaanayaa qalab in lagu xidho iyada oo aan la xaqiijin isticmaalaha. Linux-ka, marka la isticmaalayo isku-xidhka BlueZ Bluetooth ee isku-xidhka qarsoon, adapter-ka Bluetooth waa inuu ku jiraa qaab la ogaan karo oo isku xiran. Android-ka, si fudud u-fududeynta taageerada Bluetooth-ka ayaa ku filan. iOS iyo macOS, Bluetooth waa in la shido oo kiiboodhka wireless-ka waa in lagu xidhaa si loo fuliyo weerarka.
Beddelka gelinta waxaa lagu muujiyay Ubuntu 18.04, 20.04, 22.04, iyo 23.10 iyadoo la adeegsanayo qalab Bluetooth ah oo ku salaysan xirmada Bluez. ChromeOS ma aha mid nugul, maadaama dejimaha qalabkiisa Bluetooth aysan u oggolaanayn isku xirka iyada oo aan la xaqiijin. Android-ka, nuglaanta waxay saameysaa aaladaha leh noocyada madal laga bilaabo 4.2.2 ilaa 14. macOS-ka, nuglaanta waxaa lagu muujiyay MacBook Pro 2022 oo leh Apple M2 CPU iyo macOS 13.3.3, iyo MacBook Air 2017 oo leh Intel CPU iyo macOS 12.6.7. iOS-ka, nuglaanta waxaa lagu muujiyay iPhone SE oo leh iOS 16.6. Awoodsiinta qaabka qufulka kama ilaaliso weerarka macOS iyo iOS.
Linux-ka, nuglaanta waxaa lagu hagaajiyay saldhigga koodhka Bluez iyadoo dejinta "ClassicBondedOnly" loo dejiyay "run," taasoo suurtogalinaysa hab ammaan ah oo u oggolaanaya xiriirada oo keliya ka dib marka la isku daro. Horey, dejinta waxaa loo dejiyay "been", kaas oo xalliyay arrimaha iswaafajinta ee aaladaha gelinta qaarkood iyadoo lagu bixinayo kharashka amniga.
Qalabka Bluetooth-ka ee Fluoride ee loo isticmaalay sii-deynta Android ee dhawaan la sii daayay, nuglaanta waxaa wax looga qabanayaa iyadoo la amrayo xaqiijinta dhammaan xiriirada la qariyay. Balaastikada Android waxaa loo heli karaa oo keliya noocyada 11-14. Qalabka Pixel, nuglaanta waxaa lagu hagaajiyay cusboonaysiinta firmware-ka Diseembar. Noocyada Android 4.2.2 ilaa 10, nuglaanta wali lama hagaajin.
Source: opennet.ru
