近期網絡安全專家 Mobile Hacker 發佈博文,向我們演示了一台尚未安裝修補程式的 Android 手機,受到零點擊藍牙漏洞時的影響。
該零點擊藍牙漏洞追蹤編號為 CVE-2023-45866、CVE-2024-21306 和 CVE-2024-0230。受到影響的設備範圍十分廣泛,包含 Apple 的 iOS 和 macOS 系統,Google 的 Android 系統,微軟的 Windows 系統。
零點擊藍牙漏洞是一種身份繞過漏洞,最早可以追溯到 2012年。攻擊者可通過該漏洞,實現在未經用戶確認的情況下,誘騙藍牙主機狀態,從而配對虛假鍵盤,從而實施攻擊以受害者的身份執行代碼。
漏洞存在的問題主要在 Android 系統中出現。雖然 Google 於去年 12月發佈了適用於 Android 11 至 14 的安全更新,但因 Android 系統的推送更新最終掌控在各家 OEM 廠商手中,所以仍然有不少的消費者尚未更新,容易受到影響。