Después de avanzar en la modificación del teclado AW920K de Dell pero encontrar obstáculos, Newlin siguió adelante. Los teclados de Apple no parecían los candidatos más probables para su próxima área de investigación. «Fui víctima del marketing de Apple y de toda esa sabiduría común que dice que estos protocolos ubicuos como Bluetooth que todo el mundo usa son inherentemente seguros porque si no lo fueran, alguien habría encontrado los errores», dijo.
“Simplemente asumí que Apple iba a estar más allá de mis capacidades, pero ahora han pasado ocho años desde MouseTrack. Lo que me ha encantado de mis habilidades [is that I’ve] Me siento mucho más cómodo con el fracaso. Y entonces decidí que finalmente era hora de mirar Apple y Bluetooth y ver qué podía encontrar”.
Newlin compró el modelo Apple Magic Keyboard más económico que puede funcionar como un teclado USB o Bluetooth y descubrió que las vulnerabilidades del Magic Keyboard podrían aprovecharse para extraer la clave de enlace Bluetooth a través del puerto Lightning o Bluetooth no autenticado. También descubrió que si el modo de bloqueo no está habilitado, la clave de enlace se puede leer desde la Mac emparejada a través de un cable Lightning o USB.
Cómo sucede esto es complejo, pero esencialmente, las vulnerabilidades se pueden explotar para extraer la clave de enlace Bluetooth de un Magic Keyboard o su Mac emparejado a través de dispositivos de interfaz humana (HID) Bluetooth no autenticados y emparejados fuera de banda, extrayendo la clave del puerto Lightning o puerto USB en la Mac, o emparejar el Magic Keyboard con un host diferente.
La vulnerabilidad de Bluetooth se extiende a otras plataformas
Tras descubrir las vulnerabilidades de Apple, Newlin amplió su alcance a otras plataformas, empezando por Android. “Efectivamente, funcionó. Pude emparejar la función anti-pulsaciones de teclas en el dispositivo Android”, dijo. “El usuario no necesita tener un teclado emparejado con su teléfono. Y siempre que Bluetooth esté habilitado en el dispositivo Android, en cualquier momento que el teléfono esté encima y el Bluetooth esté activado, el atacante puede forzar el emparejamiento de un teclado emulado con el dispositivo Android e inyectar pulsaciones de teclas, incluso en la pantalla de bloqueo”.
Newlin luego recurrió a Linux. «Resulta que el ataque a Linux es muy, muy similar», dijo. “En Linux, siempre que el host sea reconocible y conectable a través de Bluetooth, el atacante puede forzar el emparejamiento de un teclado e inyectar pulsaciones de teclas sin la confirmación del usuario. Y entonces, esto se diferencia de Android en que el dispositivo no sólo debe ser conectable sino también detectable y conectable en Linux para el ataque”. Linux solucionó este error en 2020, pero dejó la solución deshabilitada de forma predeterminada.