Una nueva vulnerabilidad crítica de Bluetooth, identificada como CVE-2023-45866, ha sido descubierta, planteando riesgos significativos para dispositivos Android, Linux, macOS e iOS. La falla está relacionada con una omisión de autenticación que permite a los piratas informáticos tomar el control de los dispositivos vulnerables.
La vulnerabilidad explota un caso de omisión de autenticación, engañando al dispositivo objetivo al hacerle creer que está conectado a un teclado Bluetooth a través de un “mecanismo de emparejamiento no autenticado”. Esta táctica permite a los atacantes transmitir pulsaciones de teclas, logrando así la ejecución de código en el dispositivo afectado.
Lo alarmante es que este ataque no requiere hardware especializado y puede llevarse a cabo desde una computadora Linux utilizando un adaptador Bluetooth convencional. Se espera que se divulguen detalles técnicos adicionales en el futuro.
La vulnerabilidad afecta a una amplia gama de dispositivos, desde versiones de Android lanzadas desde noviembre de 2012, hasta dispositivos iOS, Linux y macOS. Incluso afecta a dispositivos macOS e iOS que utilizan el modo LockDown de Apple, diseñado para proteger contra amenazas digitales sofisticadas.
Google ha emitido un aviso indicando que la vulnerabilidad podría resultar en una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. La importancia de abordar esta vulnerabilidad resalta la necesidad de actualizaciones de seguridad y precauciones adicionales al utilizar dispositivos Bluetooth en entornos susceptibles.
