Désactiver complètement Bluetooth en public peut sembler une idée raisonnable suite à la découverte de deux nouvelles vulnérabilités qui exposent les iPhones, les smartphones Android, les Mac et d’autres appareils à un risque d’attaque.
Tandis que la première vulnérabilité, connue sous le nom de BLUFFS, pourrait permettre à un attaquant d’usurper l’identité de vos appareils. La seconde pourrait être exploitée par des pirates pour prendre le contrôle total de vos appareils, comme s’ils étaient couplés à un Clavier Bluetooth.
Comme le rapporte Lecture sombrecette vulnérabilité Bluetooth critique récemment découverte (suivie comme CVE-2022-45866) est une faille d’injection de frappe qui fonctionne en incitant votre smartphone ou votre ordinateur à s’associer à un faux clavier. Pour ne rien arranger, ce faux clavier peut se connecter à vos appareils sans confirmation de votre part.
La faille elle-même a été découverte par Marc Newlin de SkySafe, qui a détaillé ses découvertes dans un article de blog. Il a expliqué qu’il était tombé dessus en enquêtant sur le compte d’Apple. Clavier magique. Newlin s’est vite rendu compte que la faille était même exploitable dans Mode de verrouillage sur iOS et macOS, bien que les appareils Android et Linux soient également vulnérables.
Une fois qu’un attaquant a associé un clavier Bluetooth émulé à votre smartphone ou ordinateur, il peut alors effectuer n’importe quelle action qui ne nécessite pas de mot de passe ou votre empreinte digitale. De l’installation de nouvelles applications au transfert d’e-mails ou de messages texte, tout le monde peut faire beaucoup de choses, même sans accès direct à vos appareils.
Un simple défaut passé inaperçu depuis une décennie
Contrairement à la faille récemment découverte dans le protocole Bluetooth, celle-ci existe depuis au moins 10 ans. La raison pour laquelle il est resté indétecté pendant si longtemps, selon Newlin, est qu’il s’agit d’un défaut relativement simple, caché à la vue de tous.
Alors que d’autres chercheurs en sécurité recherchaient les faiblesses des systèmes de cryptage Bluetooth, rares sont ceux qui ont pensé à rechercher de simples bogues de contournement d’authentification comme celui-ci.
Quand il s’agit du meilleurs téléphones Android, ils sont vulnérables à cette faille depuis 2012, date de sortie d’Android 4.2.2. Dans le même temps, cependant, cette faille a été corrigée dans le noyau Linux en 202. Mais pour une raison quelconque, le correctif a été laissé désactivé par défaut sur la base des recherches de Newlin sur le sujet.
Depuis sa découverte, Newlin a informé Apple, Google et Bluetooth SIG de la faille. Bien qu’il existe des correctifs pour la plupart des appareils concernés, certains restent vulnérables, notamment de nombreux appareils. meilleurs MacBook ainsi que plusieurs iPhones et smartphones Android.
Comment se protéger des attaques Bluetooth
Lorsqu’il s’agit de logiciels malveillants et d’applications malveillantes, le meilleur logiciel antivirus ou l’un des meilleures applications antivirus Android peut aider à protéger vos appareils contre les attaques potentielles. Malheureusement, on ne peut pas en dire autant des attaques exploitant les failles Bluetooth.
Votre seule option est de désactiver Bluetooth lorsque vous êtes en public, ce qui peut être très gênant pour ceux qui l’utilisent. écouteurs sans fill’un des meilleures montres intelligentes et particulièrement pour les personnes qui portent une aide auditive Bluetooth. La raison en est qu’un attaquant devrait se trouver à proximité de vous et de vos appareils pour exploiter cette faille.
Heureusement, il s’agit d’une vulnérabilité critique dont Apple, Google et d’autres fabricants de matériel ainsi que Bluetooth SIG ont déjà été informés. Par conséquent, si votre appareil n’a pas encore été corrigé, un correctif arrivera probablement bientôt. En tant que tel, vous souhaiterez installer toutes les nouvelles mises à jour de sécurité pour votre smartphone ou votre ordinateur dès qu’elles seront disponibles.
Nous mettrons à jour cette histoire à mesure que nous en apprendrons davantage sur cette vulnérabilité et sur la manière dont les entreprises envisagent d’y remédier.