說明：

轉發 資安日報 https://www.ithome.com.tw/news/160267 

電腦、行動裝置搭配各式藍牙配備，已是相當普遍，但這種裝置配對機制存在弱點的情況，近期有多名研究人員公布相關研究，希望敦促裝置開發者儘速改善這類問題。

最近有研究人員公布新的漏洞CVE-2023-45866，並指出攻擊者可藉此配對「假鍵盤」，從而操作目標裝置，影響macOS、iOS、Linux、安卓作業系統的電腦或行動裝置，值得留意的是，研究人員今年8月通報後，蘋果目前尚未對此漏洞進行修補。

【攻擊與威脅】

• 愛爾蘭自來水公司傳出遭到攻擊，被迫中斷供水2天

• 俄羅斯駭客組織Star Blizzard使用新型態的帳密竊盜手法

【漏洞與修補】蘋果裝置、多家Linux作業系統存在藍牙鍵盤注入漏洞

資安業者SkySafe軟體工程師Marc Newlin揭露藍牙鍵盤注入漏洞CVE-2023-45866，這項漏洞影響執行macOS、iOS、Linux、Android作業系統的電腦與行動裝置，允許攻擊者在無需用戶確認的情況下，連線至目標裝置並注入按鍵指令，也就是代表攻擊者從遠端執行各式工作，如同在目標裝置操作鍵盤，例如：安裝應用程式、執行任意命令、轉發訊息，以及其他惡意行為。

這種漏洞並非單純的實作錯誤，亦包含藍牙協定本身的設計缺陷，其原理是能欺騙作業系統藍牙晶片的狀態，從而與假鍵盤進行配對。研究人員先是從蘋果電腦與行動裝置找到這項漏洞，並發現就算是使用者啟用了封閉模式（Lockdown Mode），還是無法防堵攻擊者藉此控制裝置。

後來他也在Linux電腦、安卓裝置也發現相同弱點，並指出雖然Linux基金會曾在修補CVE-2020-0556就予以處理，但大部分版本Linux預設並未啟用，僅有ChromeOS不受影響；安卓裝置一旦啟用藍牙功能就有可能曝險，研究人發現Google在2012年推出的4.2.2版就存在該漏洞，目前該公司在12月例行更新當中，對於11版以上的安卓作業系統進行修補。