BlueDucky 自动利用蓝牙配对漏洞，导致零点击代码执行

2024 年 1 月，Marc Newlin发布了概念验证脚本，该脚本利用了追踪为 CVE-2023-45866 的 0-click 蓝牙漏洞。该漏洞利用工具名为hi_my_name_is_keyboard。通过利用此安全问题，可以通过模拟蓝牙键盘将击键注入蓝牙附近的任何未修补的 Android 和 Linux 设备。Marc 的 PoC 脚本只是为了利用该问题而设计的。我能够成功地针对易受攻击的 Android 智能手机、Google Chromecast TV、Meta Quest 3、基于 Linux 的智能电视测试此漏洞，并且我在博客上分享了利用 0-click Android 蓝牙漏洞注入击键的结果。然而，问题是用户首先需要手动发现并输入目标蓝牙设备的MAC地址，并且还需要了解脚本来更改代码以更改注入的密钥。BlueDucky解决了这两个问题。

在下面的视频中，您可以看到在带有 NetHunter 的 Rapsberry Pi 4 和 Android 智能手机上运行 BlueDucky 以利用 0-click 蓝牙漏洞的演示。

BlueDucky的好处

BlueDucky 由Opabinia开发并发布在GitHub上。这是一个方便的工具包，利用 hi_my_name_is_keyboard PoC 带来的好处。我能够在运行 Kali Linux 的 Raspberry Pi 4 和运行 Kali NetHunter (OnePlus 7 Pro) 的 root Android 上运行它。

启动后，BlueDucky 会自动开始扫描附近的蓝牙设备，并提供选择其中一个的选项。所有发现的设备的名称和 MAC 地址都存储在本地known_devices.txt文件中。用户可以选择其中之一，也可以扫描附近的设备。在图 1 中，您可以看到存储设备的示例。该列表包含所有找到的设备，而不仅仅是易受攻击的设备。

图 1. 自动保存的已发现蓝牙设备列表

这些设备可以用作目标，即使它们可能不再可见，但仍启用蓝牙。这适用于不再处于可发现模式的智能手机，这意味着它们不再公布其 MAC 地址，但它们出现在附近。

利用漏洞后，BlueDucky会执行保存在payload.txt文件中的Rubber Ducky脚本，因此无需再编辑python脚本。

如果您想使用外部蓝牙适配器，则仍然需要进行更改，blueducky.py因为适配器将被识别为hci1设备。然而，有一个技巧可以提供帮助。将外部适配器插入 Android 或 Raspberry Pi 等设备，然后重新启动。启动后，外部设备将自动识别为hci0设备，内置蓝牙芯片为hci1。因此，您无需更改任何代码。

如果我们想谈论真正的自动化，那么可以编辑脚本，让 BlueDucky 发现循环中的设备，并尝试一一利用它们并记录结果。根据我的经验，如果设备容易受到攻击，那么脚本会成功完成。如果设备已打补丁或不受影响，则会崩溃。

预防

如果您运行的是 Android 11 及更高版本，最好的做法是修补您的设备。

如果您使用的是 Android 10 及更低版本，则很遗憾，该安全补丁不可用，并且根据 Marc Newlin 的原始帖子，该补丁将不会被修补。

好消息是附近的攻击者无法自动接收 Android 设备的蓝牙 MAC 地址。仅当设备处于可发现模式时才有可能。如果攻击者已经拥有 MAC 地址并且设备未打补丁，最安全的做法是关闭蓝牙。

点击下方阅读原文 - 即可跳转原文地址