Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Apple wypuszcza łatkę bezpieczeństwa na klawiaturę. Atakujący wykonując pewne wstępne działania może podsłuchiwać naciśnięcia klawiszy. CVE-2024-0230
Informacja o szczegółach aktualizacji dostępna jest tutaj:
Impact: An attacker with physical access to the accessory may be able to extract its Bluetooth pairing key and monitor Bluetooth traffic
Jak widać, wymagane są wstępne przygotowania do całej akcji, które bardziej szczegółowo zostały opisany w tym wpisie na blogu.
Badacz informuje, że udało mu się wyciągnąć klucz szyfrujący (Bluetooth link key) aż trzema sposobami:
- Poprzez dostęp do portu lightning klawiatury
- Poprzez nieuwierzytelniony Bluetooth (jeśli klawiatura została odłączona od Maca)
- Przez port USB Maca (jeśli nie włączono na nim lockdown mode)
Nie jest do końca jasne czy tylko można podsłuchiwać naciśnięcia klawiszy, czy również je aktywnie naciskać (przez Bluetooth).
Na koniec dobra informacja, którą Apple nie wiedzieć dlaczego artykułuje małą czcionką – użytkownicy Magic Keyboard aktualizację otrzymają automatycznie / w tle:
Firmware updates are automatically delivered in the background while the Magic Keyboard is actively paired to a device running macOS, iOS, iPadOS, or tvOS.