Tại sự kiện hội nghị an ninh mạng hàng đầu thế giới Def Con 2023, các chuyên gia an ninh mạng đã phát hiện ra một thiết bị tương đối rẻ có thể tận dụng lỗi Bluetooth để thông báo những thông tin giả mạo và có thể khiến người dùng giao nộp những dữ liệu nhạy cảm. Các chuyên gia tham dự cũng cho rằng thông tin cá nhân của người dùng có thể bị đánh cắp bất cứ lúc nào.
Một dự án nghiên cứu của Jae Bochs đã chỉ ra rằng việc tận dụng Bluetooth Low Energy (BLE) của Apple dễ dàng lấy thông tin của người dùng. Dự án của Bochs nhằm nhắc nhở mọi người thường sử dụng Trung tâm điều khiển để tắt Bluetooth, nhưng thực tế là Bluetooth không được tắt hoàn toàn.
Bochs đã cho biết rằng thiết bị xâm nhập lỗi Bluetooth này là kết hợp của Raspberry Pi Zero 2 W, bộ điều hợp Bluetooth tương thích Linux, một số ăng-ten và pin. Thiết bị này chỉ có giá 70 USD, nhưng có thể gây ra sự tàn phá nhanh chóng trên các thiết bị Apple. Điều này liên quan đến các thiết bị của Apple giao tiếp với nhau thông qua Bluetooth Low Energy (BLE) và phụ thuộc vào hệ sinh thái của Apple.
Bochs đã thử nghiệm thiết bị của mình tại sự kiện và đã gửi lời nhắc nhở đến các chiếc iPhone gần đó, yêu cầu tự động điền mật khẩu của họ vào Apple TV gần đó mặc dù thực tế không có Apple TV gần họ. Thiết bị của Bochs không được thiết kế để lấy thông tin cá nhân khi người dùng nhấn vào lời nhắc và chèn mật khẩu. Tuy nhiên, nếu người dùng tương tác với lời nhắc và bên kia được thiết lập để trả lời một cách thuyết phục, người dùng có thể trở thành nạn nhân bị đánh cắp dữ liệu.
Bochs cũng cho biết rằng việc sử dụng BLE có thể cho phép các thiết bị như iPhone nói chuyện với nhau khi nằm trong phạm vi nhất định, và việc sử dụng thiết bị xâm nhập lỗi Bluetooth này có thể khiến người dùng giao nộp dữ liệu nhạy cảm và làm rò rỉ thông tin cá nhân.
Bochs đã đưa ra gợi ý cho Apple cung cấp lời nhắc tốt hơn cho người dùng, giúp người dùng hiểu rõ hơn về những gì đang xảy ra khi họ nhấn vào biểu tượng Bluetooth trong Trung tâm điều khiển.
Để bảo vệ bản thân khỏi cuộc tấn công này, người dùng cần biết những thiết bị cá nhân nào đang được mang theo, chẳng hạn như AirTag hay AirPods. Nếu một trong các thiết bị ngẫu nhiên yêu cầu nhập mật khẩu, người dùng cần bỏ qua nó để đảm bảo an toàn. Ngoài ra, người dùng nên tắt Bluetooth hoặc Wifi hoàn toàn bằng cách truy cập vào ứng dụng Cài đặt.
