Apple、Magic KeyboardシリーズでBluetoothトラフィックが監視できてしまう可能性のある脆弱性を修正した「Magic Keyboard Firmware Update 2.0.6」をリリース。

　AppleがMagic Keyboardシリーズに対しBluetoothトラフィックを監視できてしまう可能性のある脆弱性を修正した「Magic Keyboard Firmware Update 2.0.6」をリリースしています。詳細は以下から。

　Appleは現地時間2024年01月09日、同社のBluetoothキーボード「Magic Keyboard」シリーズでBluetoothトラフィックが監視できてしまう脆弱性を修正した「Magic Keyboard Firmware Update v2.0.6」をリリースしたと発表しています。

Impact: An attacker with physical access to the accessory may be able to extract its Bluetooth pairing key and monitor Bluetooth traffic
Description: A session management issue was addressed with improved checks.

About the security content of Magic Keyboard Firmware Update 2.0.6 – Apple

　Magic Keyboard Firmware Update v2.0.6では、Appleが2015年から販売しているBluetooth接続のMagic Keyboardへ物理的にアクセスできる悪意のある攻撃者がBluetoothペアリングキーを抜き取り、Bluetoothトラフィックを監視できる可能性のある脆弱性(CVE-2024-0230)が修正されているそうで、

この脆弱性を発見したSkySafeのセキュリティ研究者のMarc Newlinさんによると、この脆弱性は少なくとも2021年に発売されたApple Silicon iMacと共にアップデートされたMagic Keyboardで確認されているそうですが、Appleは2021年以前の古いMagic Keyboardにもファームウェアアップデートを提供しているため、バッテリー充電式になった全てのMagic Keyboardがこの影響を受けるようです。

　Magic Keyboardのファームウェアアップデートは、Appleが2018年にリリースしたmacOS 10.14 Mojaveから導入している「システムおよびセキュリティ・アップデート」に基づきバックグラウンドでアップデートされるため、システム設定アプリのアップデート項目には表示されませんが、Magic KeyboardをmacOSやiOS、iPadOS、tvOSにペアリングしておけば、自動的にロールアウトされ、

バッテリーが十分に充電されている状態で、ユーザーが利用していない間にアップデートが適用されるようになっており、現在のファームウェアバージョンはシステム設定アプリの[Bluetooth] → [Magic Keyboard] → (i)ボタンから確認できるので、気になる方はチェックしてみてください。

クリックで拡大

おまけ

　ちなみに、Marc Newlinさんはこの成果を01月13日に開かれるShmooConで発表するそうです。

• Hi, My Name is Keyboard – GitHub
• About the security content of Magic Keyboard Firmware Update 2.0.6 – Apple