Descripción
Una vulnerabilidad crítica descubierta recientemente (CVE-2023-45866, CVE-2024-21306) en Bluetooth se puede aprovechar para inyectar pulsaciones de teclas sin la confirmación del usuario, aceptando cualquier solicitud de emparejamiento de Bluetooth. Estas vulnerabilidades afectan a los sistemas operativos Android, Linux, macOS, iOS y Windows, lo que las convierte en una grave amenaza para los usuarios de diferentes plataformas.
La buena noticia es que un atacante que se encuentre cerca no puede recibir automáticamente la dirección MAC Bluetooth de los dispositivos Android. Sólo es posible si el dispositivo está en modo reconocible. En caso de que el atacante ya tenga la dirección MAC y el dispositivo no esté parcheado, lo más seguro es apagar el Bluetooth.
Dispositivos afectados
- Android 4.2, 5, 6, 7, 8, 9, 10 (no hay ninguna solución disponible)
- Android 11, 12, 13, 14 (es posible que aún sea vulnerable sin el parche de seguridad 2023-12-05)
- Linux (BlueZ patch available)
- macOS 12, 13 (no hay ninguna solución disponible)
- macOS 14 (solucionado en macOS 14.2)
- iOS 16 (no hay solución)
- iOS 17 (soñcuionadao en iOS 17.2)
- Windows 10, 11, Server 2022 (solucionado con el patch thuesday de enero 2024)
Solución
Mantener su dispositivo actualizado, desactivar Bluetooth cuando no esté en uso, evitar el emparejamiento con dispositivos desconocidos y no activar el modo detectable si no es necesario.
