Redazione RHC : 30 Gennaio 2024 09:16
E’ stata recentemente scoperta una vulnerabilità critica (CVE-2023-45866, CVE-2024-21306) su Bluetooth la quale può essere sfruttata per inserire sequenze di tasti senza la conferma dell’utente, accettando qualsiasi richiesta di accoppiamento Bluetooth. Queste vulnerabilità colpiscono i sistemi operativi Android, Linux, macOS, iOS e Windows, rendendoli una seria minaccia per gli utenti su diverse piattaforme.
La vulnerabilità CVE-2023-45866 ha un impatto significativo sulle Smart TV che utilizzano Android e Linux senza le necessarie patch e sono dotate di interfaccia Bluetooth. Questo rischio si estende ai dispositivi che eseguono webOS basato su Linux o la versione 3 di Google Chromecast TV.
Sfruttando questa vulnerabilità su Chromecast non ancora aggiornati, è possibile attivare la TV attraverso il dongle Chromecast e inserire sequenze di tasti. Nel caso delle smart TV con webOS, dopo aver eseguito l’exploit PoC, compare un popup con il nome del dispositivo connesso, consentendo l’inserimento della sequenza di tasti.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Potrebbero essere potenzialmente coinvolte anche le Fire TV obsolete con Android e altri box TV basati su Android. I test indicano che, se lo script PoC viene eseguito senza interruzioni anomale, il dispositivo risulta vulnerabile.
È anche importante notare che un utente malintenzionato deve conoscere l’indirizzo MAC Bluetooth per eseguire l’exploit. Chromecast trasmette l’indirizzo MAC Bluetooth solo se è in modalità di accoppiamento. La televisione con webOS trasmette l’indirizzo MAC Bluetooth continuamente quando la TV è accesa, quindi non è necessario che sia in modalità di accoppiamento. Ciò significa che è più facile ottenere il MAC e accedere alle TV nelle vicinanze.
Le vulnerabilità sono state scoperte da Marc Newlin , che ha anche pubblicato script di sfruttamento dimostrativi. Utilizzando questi script, è possibile inserire sequenze di tasti in qualsiasi dispositivo Android e Linux senza patch in prossimità Bluetooth impersonando la tastiera Bluetooth.
Tale tastiera Bluetooth forzerà l’accoppiamento di un dispositivo preso di mira senza alcuna interazione o notifica da parte dell’utente, rendendo questo exploit uno 0 clic.
L’aggressore può anche connettersi a iOS tramite spoofing della Magic Keyboard, tuttavia la tastiera deve essere fuori dalla portata del Bluetooth e l’aggressore deve comunque conoscere l’indirizzo MAC della Bluetooth Magic Keyboard, il che in uno scenario reale sarà impegnativo. Se sei interessato a maggiori dettagli su queste vulnerabilità che colpiscono Linux, macOS, iOS e Windows, ti consiglio di leggere il blog originale .
La tabella sopra illustra che Android fino alla versione 10 è vulnerabile e la correzione non è disponibile. Se utilizzi Android 11 e versioni successive, potresti essere ancora vulnerabile senza la patch di sicurezza 2023-12-05.
Android | 4.2, 5, 6, 7, 8, 9, 10 | CVE-2023-45866 | no fix available | Android 3 and earlier were not tested |
Android | 11, 12, 13, 14 | CVE-2023-45866 | fixed in 2023-12-05 security patch level | |
Linux (BlueZ) | Affected Distros | CVE-2023-45866 | BlueZ patch available | |
macOS | 12, 13 | CVE-2023-45866 | no fix available | macOS 11 and earlier were not tested |
macOS | 14 | CVE-2023-45866 | fixed in macOS 14.2 | |
iOS | 16 | CVE-2023-45866 | no fix available | iOS 15 and earlier were not tested |
iOS | 17 | CVE-2023-45866 | fixed in iOS 17.2 | |
Windows | 10, 11, Server 2022 | CVE-2024-21306 | fixed in January 2024 Patch Tuesday | earlier versions of Windows were not tested |
La vulnerabilità in Android non richiede alcun clic e i dispositivi non ancora patchati possono essere sfruttati ogni volta che la funzionalità Bluetooth è attiva. È importante notare che questa vulnerabilità interessa esclusivamente la tecnologia Bluetooth classica e non il protocollo Bluetooth Low Energy (BLE). Per sfruttare la vulnerabilità su un dispositivo Android, è necessario inizialmente identificarlo per ottenere il suo indirizzo MAC Bluetooth.
Mentre i dispositivi BLE trasmettono periodicamente pacchetti pubblicitari per essere riconosciuti da altri dispositivi, la rilevazione di un dispositivo Android con Bluetooth classico richiede che quest’ultimo sia in modalità rilevabile.
L’utente deve attivare manualmente questa modalità aprendo le opzioni Bluetooth nelle Impostazioni, consentendo così al suo indirizzo MAC Bluetooth di essere visibile ad altri dispositivi e, in circostanze malevole, a un utente non autorizzato. Con l’indirizzo MAC del dispositivo vulnerabile acquisito, è quindi possibile eseguire l’inserimento di tasti arbitrari per prendere il controllo del bersaglio, rendendo questa situazione un possibile scenario di attacco HID Bluetooth. Per ulteriori dettagli sugli attacchi HID, si consiglia la lettura della guida completa agli attacchi HID che utilizzano gli script Rubber Ducky e l’attacco Bad USB MITM.
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006