Bezprzewodowe parowanie przez Bluetooth sprzętów takich jak klawiatura, słuchawki czy mysz z komputerem to bardzo wygodne rozwiązanie, szczególnie w pracy. Ale taka forma połączenia nie jest wolna od zagrożeń. Luka w zabezpieczeniach może pozwolić cyberprzestępcom na dostanie się do wrażliwych danych. Teraz na celowniku hakerów są użytkownicy Apple, choć atak może być wymierzony również w posiadaczy urządzeń Android.
Nowy typ oszustwa wykorzystuje połączenie Bluetooth – Spis treści
Masz klawiaturę na Bluetooth? Uważaj na oszustów
Inżynier, programista i badacz zabezpieczeń Marc Newlin odkrył lukę, która umożliwia wprowadzanie tekstu na urządzeniach Mac, iPad lub iPhone bez zgody użytkownika, jeśli są one połączone z klawiaturą bezprzewodową Bluetooth Magic Keyboard. Jak podaje Apple Insider, Newlin zauważył, że luka jest wykorzystywana nawet w trybie Lockdown w systemach iOS i macOS, ale również urządzenia z Androidem i Linuksem są narażone na ten tym oszustwa. Atakujący, po sparowaniu emulowanej klawiatury Bluetooth z urządzeniem, może wykonywać różne działania, które nie wymagają hasła ani odcisku palca.
Jak zaznacza Newlin w poście na blogu Github, luka istnieje od co najmniej 10 lat, ale pozostała niezauważona ze względu na swoją „prostotę”.
Kiedy znalazłem podobne luki w zabezpieczeniach polegające na naciskaniu klawiszy w systemach Linux i Android, zaczęło to mniej wyglądać na błąd implementacji, a bardziej na wadę protokołu.
Po przeczytaniu części specyfikacji Bluetooth HID odkryłem, że jest to po trochu jedno i drugie.
Marc Newlin, badacz zabezpieczeń w poście na blogu Github
Dlaczego jest to niebezpieczne?
Analiza Newlina oznacza, że gdy haker sfałszuje połączenie Bluetooth między klawiaturą Magic Keyboard a komputerem Mac, może dowolnie wprowadzać komendy na klawiaturze. W większości przypadków nie wykona takich działań, jak logowanie się do banku czy płacenie kartą, ponieważ wymaga to dodatkowego uwierzytelniania (np. za pomocą odcisku palca), ale za to może mieć dostęp do historii przeglądania, skrzynki e-mail czy wiadomości iMessage. Błąd związany luką bezpieczeństwa polega na tym, że da się „oszukać” smartfon lub komputer w celu sparowania z fałszywą klawiaturą. Najgorsze jest jednak to, że klawiatura należąca do cyberprzestępcy może łączyć się z urządzeniami bez naszej zgody.
Newlin poinformował Apple, Google i Bluetooth o problemie. Istnieją już łatki dla większości podatnych urządzeń, ale niektóre, w tym wiele modeli MacBooków oraz niektóre smartfony iPhone i Android, nadal nie mają ochrony w tym zakresie. Być może coś się zmieni, kiedy Apple postanowi przejść na USB-C we wszystkich swoich akcesoriach.
Jak chronić się przed takim atakiem?
Najprostszym sposobem ochrony jest wyłączenie Bluetooth, zwłaszcza w miejscach publicznych lub gdy nie jest ono aktywnie używane. To zapobiega nieautoryzowanemu parowaniu z fałszywymi urządzeniami. Należy być także wyczulonym na nieoczekiwane lub nieautoryzowane działania na urządzeniu, takie jak niespodziewane otwieranie aplikacji czy wprowadzanie tekstu. Może to być oznaką ataku. I to, co powtarzamy za każdym razem – warto regularnie aktualizować oprogramowanie urządzenia. Chociaż na ten moment nie ma oficjalnej łatki związanej z tą luką, ważne jest, aby instalować wszystkie aktualizacje bezpieczeństwa, gdy tylko staną się dostępne. A jeśli dużo pracujesz przy komputerze, sprawdź nasz ranking najlepszych klawiatur bezprzewodowych.
Interesują cię nowinki Apple? Sprawdź, jakie mamy sposoby, aby zastąpić wyczekiwanego asystenta Siri po polsku.
Źródło: Apple Insider, oprac. własne