Устройствам Apple, Android, Linux уже 10 лет грозит захват через Bluetooth

Татьяна Никитина 07 Декабря 2023 - 15:20

...

Уязвимость реализаций Bluetooth позволяет без аутентификации подключаться к устройствам Linux, Android, macOS, iOS и выполнять произвольные команды, имитируя клавиатурный ввод с помощью скриптов.

Проблему безопасности, которой был присвоен идентификатор CVE-2023-45866, обнаружил специалист по реверс-инжинирингу из SkySafe Марк Ньюлин (Marc Newlin). В 2016 году он же выявил похожую возможность подмены в беспроводных устройствах ввода семи вендоров (атака получила название MouseJack).

В рамках нового исследования было установлено, что устройство с включенным Bluetooth можно заставить взаимодействовать с фейковой клавиатурой, притом без ведома пользователя. Механизм сопряжения, не требующего аутентификации, определен в спецификациях Bluetooth 13-летней давности, однако ошибки в реализации протокола могут открыть возможность для злоупотреблений.

Эксплойт-атака в таких случаях незамысловата, ее можно провести с Linux-машины с использованием обычного адаптера Bluetooth. После установки связи с целевым телефоном или компьютером атакующий сможет через инъекцию нажатия клавиш выполнять на нем любые действия при условии, что они не требуют пароля или биометрической аутентификации.

Как оказалось, CVE-2023-45866 даже старше MouseJack: Ньюлин смог воспроизвести атаку на смартфон BLU DASH 3.5 под управлением Android 4.2.2 (эта сборка была выпущена в 2012 году).

Согласно результатам исследования, уязвимость составляет угрозу для следующих устройств:

Android с включенным Bluetooth;
Linux со стеком протоколов BlueZ при условии, что Bluetooth доступен для обнаружения и связи;
iOS и macOS при активном Bluetooth и наличии сопряжения с Magic Keyboard; эксплойт возможен даже при включенном режиме блокировки (LockDown Mode).

О своем открытии исследователь сообщил Apple, Google, Canonical (развивает проект Ubuntu) и комьюнити Bluetooth SIG. Публикацию подробностей и PoC-кода он решил отложить до тех пор, пока все не будет пропатчено.

Ответ Google гласил, что исправления для Android версий с 11 по 14 уже доступны затронутым OEM-провайдерам, а Pixel-устройства получат их OTA в составе декабрьских обновлений.

В Linux данная проблема была решена еще 2020 году (CVE-2020-0556), однако Ньюлин обнаружил, что фикс работает только в ChromeOS. В других дистрибутивах он по умолчанию неактивен — исследователь в этом убедился, проверив Ubuntu 18.04, 20.04, 22.04 и 23.10.

Патч для стека BlueZ вышел два месяца назад. Компания Apple получила отчет багхантера еще в августе, но дату выпуска патчей пока не озвучила.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 28 Января 2026 - 12:40

Windows Эксплойты Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Google

Уязвимость WinRAR стала массовым орудием киберпреступников

Уязвимость в WinRAR, о которой стало известно ещё летом, оказалась куда популярнее, чем ожидалось. По данным Google Threat Intelligence Group (GTIG), брешь активно используют сразу несколько группировок — от государственных APT до обычных киберпреступников, работающих «за процент».

Речь идёт о серьёзной ошибке класса path traversal (выход за пределы рабочего каталога) под идентификатором CVE-2025-8088, связанной с механизмом Alternate Data Streams (ADS) в Windows.

С её помощью злоумышленники могут незаметно записывать вредоносные файлы в произвольные каталоги системы — например, в папку автозагрузки, обеспечивая себе устойчивость после перезагрузки компьютера.

Изначально уязвимость обнаружили исследователи ESET. В начале августа 2025 года они сообщили о соответствующих кибератаках группировки RomCom. Однако свежий отчёт Google показывает: эксплуатация началась ещё 18 июля 2025 года и продолжается до сих пор, причём сразу несколькими типами атакующих.

Схема атаки обычно выглядит так: в архиве WinRAR прячется безобидный файл-приманка — например, PDF-документ. При этом внутри того же архива через ADS скрываются дополнительные данные, включая вредоносную нагрузку.

Пользователь открывает «документ», а WinRAR в фоновом режиме извлекает скрытый файл с обходом путей и сохраняет его в нужное атакующему место. Часто это LNK, HTA, BAT, CMD или скрипты, которые запускаются при входе в систему.

Среди правительственных кибергрупп, замеченных Google за эксплуатацией CVE-2025-8088, — целый «звёздный состав»:

UNC4895 (RomCom/CIGAR) рассылала фишинговые письма украинским военным и доставляла загрузчик NESTPACKER (Snipbot).
APT44 (FROZENBARENTS) использовала вредоносные ярлыки и украиноязычные приманки для загрузки дополнительных компонентов.
TEMP.Armageddon (CARPATHIAN) до сих пор применяет HTA-загрузчики, оседающие в автозапуске.
Turla (SUMMIT) распространяла свой набор инструментов STOCKSTAY, маскируя атаки под материалы для ВСУ.

Также зафиксированы китайские группировки, которые применяли эксплойт для доставки POISONIVY через BAT-файлы.

Но на этом всё не заканчивается. GTIG отмечает, что уязвимость активно используют и финансово мотивированные злоумышленники. Через WinRAR они распространяют популярные трояны и стилеры — XWorm, AsyncRAT, бэкдоры под управлением Telegram-ботов, а также вредоносные расширения для браузера Chrome, ориентированные на банковские данные.

По оценке Google, большинство атакующих не писали эксплойт сами, а просто купили готовое решение у специализированных продавцов. Один из таких поставщиков, известный под псевдонимом «zeroplayer», рекламировал рабочий эксплойт для WinRAR ещё летом.

Причём это далеко не единственный его «товар»: ранее он предлагал 0-day для Microsoft Office, удалённое выполнение кода в корпоративных VPN, локальное повышение привилегий в Windows и даже обходы средств защиты — по ценам от 80 до 300 тысяч долларов.