பாதிப்பை கண்டுபிடித்தவர் மார்க் நியூலின் மவுஸ்ஜாக் ஏழு ஆண்டுகளுக்கு முன்பு, பற்றிய தகவல்களை வெளியிட்டார் இதே போன்ற பாதிப்பு (CVE-2023-45866)புளூடூத் அடுக்குகளைப் பாதிக்கும் Android, Linux, macOS மற்றும் iOS. இந்தப் பாதிப்பு, புளூடூத் மூலம் இணைக்கப்பட்ட உள்ளீட்டுச் சாதனத்தின் செயல்பாட்டைப் போல நடித்துக் காட்டுவதன் மூலம், விசை அழுத்தப் போலியாக்கத்தை அனுமதிக்கிறது. விசைப்பலகை உள்ளீட்டிற்கான அணுகலைப் பெறுவதன் மூலம், ஒரு தாக்குபவர் கணினிக் கட்டளைகளை இயக்குதல், பயன்பாடுகளை நிறுவுதல் மற்றும் செய்திகளை அனுப்புதல் போன்ற பல்வேறு செயல்களைச் செய்ய முடியும்.
புளூடூத் சாதனங்களுக்கான ஹோஸ்ட் எச்ஐடி (மனித இடைமுக சாதனம்) இயக்கிகள் ஒரு பயன்முறையைக் கொண்டிருப்பதால் பாதிப்பு ஏற்படுகிறது, இது ரிமோட் பெரிஃபெரல் சாதனத்தை அங்கீகாரம் இல்லாமல் என்க்ரிப்ட் செய்யப்பட்ட இணைப்புகளை உருவாக்கவும் நிறுவவும் அனுமதிக்கிறது. இந்த இணைக்கப்பட்ட சாதனங்கள் விசைப்பலகை செய்திகளை அனுப்ப முடியும் மற்றும் HID ஸ்டேக் அவற்றை செயலாக்குகிறது, இது ஒரு அமைதியான HID செய்தியை ஏமாற்றும் தாக்குதலுக்கான கதவைத் திறக்கிறது. பாதிக்கப்பட்டவரிடமிருந்து 100 மீட்டர் வரை இந்தத் தாக்குதல் நடத்தப்படலாம்.
அங்கீகாரம் இல்லாமல் சாதனங்களை இணைப்பதற்கான வழிமுறை புளூடூத் விவரக்குறிப்பில் வரையறுக்கப்பட்டுள்ளது, மேலும் இது புளூடூத் ஸ்டாக் அமைப்புகளைப் பொறுத்து, பயனரின் உறுதிப்படுத்தல் இல்லாமலேயே ஒரு சாதனம் இணைவதற்கு அனுமதிக்கிறது. எடுத்துக்காட்டாக, LinuxBlueZ புளூடூத் ஸ்டேக்கைப் பயன்படுத்தும்போது, மறைமுகமாக இணைப்பதற்கு புளூடூத் அடாப்டர் கண்டறிதல் மற்றும் இணைப்புப் பயன்முறையில் இருக்க வேண்டும். Android புளூடூத் ஆதரவை இயக்கினால் போதும். iOS மற்றும் macOS வெற்றிகரமான தாக்குதலுக்கு, புளூடூத் இயக்கப்பட்டிருக்க வேண்டும் மற்றும் ஒரு கம்பியில்லா விசைப்பலகை இணைக்கப்பட்டிருக்க வேண்டும்.
உள்ளீட்டு மாற்றீட்டின் சாத்தியக்கூறு இதில் நிரூபிக்கப்பட்டது. Ubuntu BlueZ தொகுப்பை அடிப்படையாகக் கொண்ட புளூடூத் ஸ்டாக்குடன் கூடிய 18.04, 20.04, 22.04, மற்றும் 23.10 பதிப்புகள். ChromeOS பாதிக்கப்படாது, ஏனெனில் அதன் புளூடூத் ஸ்டாக் அமைப்புகள் அங்கீகாரம் இல்லாமல் இணைப்புகளை அனுமதிப்பதில்லை. Android இந்தப் பாதிப்பு, 4.2.2 முதல் 14 வரையிலான இயங்குதளப் பதிப்புகளைக் கொண்ட சாதனங்களைப் பாதிக்கிறது. macOS ஆப்பிள் M2 செயலி மற்றும் பிற அம்சங்களைக் கொண்ட 2022 மேக்புக் ப்ரோவில் இந்தப் பாதிப்பு நிரூபிக்கப்பட்டது. macOS 13.3.3, அத்துடன் இன்டெல் செயலி கொண்ட மேக்புக் ஏர் 2017-இலும் macOS 12.6.7. iOS-இல், இந்தப் பாதிப்பு நிரூபிக்கப்பட்டது iPhone iOS 16.6 உடன் கூடிய SE. லாக்டவுன் பயன்முறையை இயக்குவது தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பை வழங்காது. macOS மற்றும் iOS.
В Linux பாதிப்பு நீக்கப்பட்டது Bluez கோட்பேஸில் "ClassicBondedOnly" அமைப்பை "true" என அமைப்பதன் மூலம், ஒரு பாதுகாப்பான பயன்முறையை செயல்படுத்துகிறது, இது இணைக்கப்பட்ட பிறகு மட்டுமே இணைப்புகளை உருவாக்க அனுமதிக்கிறது. முன்னதாக, இது "தவறு" என அமைக்கப்பட்டது, இது சில உள்ளீட்டு சாதனங்களுடன் இணக்கத்தன்மைக்காக, பாதுகாப்பு அளவைக் குறைத்தது.
சமீபத்திய பதிப்புகளில் பயன்படுத்தப்படும் ஃப்ளோரைடு புளூடூத் அடுக்கில் Android, பாதிப்பு சரி செய்யப்பட்டது அனைத்து மறைகுறியாக்கப்பட்ட இணைப்புகளுக்கும் அங்கீகாரத்தைக் கட்டாயமாக்குவதன் மூலம். இதற்கான திருத்தங்கள் Android 11-14 கிளைகளுக்கு மட்டுமே வெளியிடப்பட்டன. பிக்சல் சாதனங்களைப் பொறுத்தவரை, டிசம்பர் ஃபார்ம்வேர் புதுப்பிப்பில் அந்தப் பாதிப்பு சரிசெய்யப்பட்டது. வெளியீடுகளுக்கு Android 4.2.2 முதல் 10 வரையிலான பதிப்புகளில் இந்தப் பாதிப்பு சரிசெய்யப்படாமல் உள்ளது.
ஆதாரம்: linux.org.ru
