Apple 发布了妙控键盘的固件更新,以解决标识为 CVE-2024-0230 的安全性漏洞(最初披露为 CVE-2023-45866)。此漏洞允许恶意行为者与键盘建立蓝牙连接。该漏洞于 12 月公开披露,尽管它于 2023 年 8 月首次曝光。
SkySafe的安全研究员Marc Newlin报告了该漏洞,他表示,他花了几个月的时间调查和报告与macOS和iOS系统中未经身份验证的蓝牙连接相关的问题。
此更新指定为版本 2.0.6,适用于妙控键盘的标准版本和扩展版本,无论是否配备触控 ID。 安装更新无需用户操作:当妙控键盘连接到 Apple 设备时,它会自动安装。
需要注意的是,CVE-2024-0230 允许那些对蓝牙键盘(如妙控键盘)进行一次性物理访问的人来确定蓝牙配对键。一旦获得,攻击者可以在未经用户确认的情况下欺骗蓝牙主机并连接假冒键盘。
一旦假冒键盘连接到 Mac,攻击者就可以随意按下任何键。虽然需要密码或Touch ID确认的操作没有风险,但攻击者仍然可以启动应用程序,阅读消息,并从受害者的设备下载文件。
当然,击键和执行的操作(例如启动应用程序或输入命令组合)对用户是可见的。因此,苹果似乎并没有急于发布官方更新,也许并不认为这是一个重大威胁。
相关文章
网友评论(共有 0 条评论)
