Google исправил критическую уязвимость в ОС Android, которая влияет на подсистему Bluetooth и может быть использована без вмешательства пользователя.
Уязвимость, отслеживаемая как CVE-2020-0022, является уязвимостью удаленного выполнения кода, которая может позволить злоумышленникам выполнить код на устройстве с повышенными привилегиями демона Bluetooth, когда беспроводной модуль активен. Критическая уязвимость затрагивает Android Oreo (8.0 и 8.1) и Pie (9), хотя она не может использоваться на Android 10 по техническим причинам и вызывает только состояние DoS демона Bluetooth.
Об этом Google сообщил Ян Руге из Technische Universität Darmstadt, лаборатории защищенных мобильных сетей.
Риск эксплуатации таких уязвимостей заключается в том, что они могут быть использованы для wormable «поведение в мобильных вредоносных программах, которые могут быстро распространяться с одного зараженного устройства на другое устройство, находящееся в непосредственной близости, и достижимый через Bluetooth.
Проблема может быть использована только в том случае, если злоумышленник знает MAC-адрес Bluetooth получателя, но его довольно легко найти.
Чтобы устранить эту уязвимость, Ruge рекомендует отключить Bluetooth и включать его только «если это строго необходимо». Если вам нужно активировать Bluetooth, рекомендуется установить устройство не обнаруживаемым для сопряжения с другими устройствами.
Уязвимость, отслеживаемая как CVE-2020-0022, является уязвимостью удаленного выполнения кода, которая может позволить злоумышленникам выполнить код на устройстве с повышенными привилегиями демона Bluetooth, когда беспроводной модуль активен. Критическая уязвимость затрагивает Android Oreo (8.0 и 8.1) и Pie (9), хотя она не может использоваться на Android 10 по техническим причинам и вызывает только состояние DoS демона Bluetooth.
Об этом Google сообщил Ян Руге из Technische Universität Darmstadt, лаборатории защищенных мобильных сетей.
Риск эксплуатации таких уязвимостей заключается в том, что они могут быть использованы для wormable «поведение в мобильных вредоносных программах, которые могут быстро распространяться с одного зараженного устройства на другое устройство, находящееся в непосредственной близости, и достижимый через Bluetooth.
Проблема может быть использована только в том случае, если злоумышленник знает MAC-адрес Bluetooth получателя, но его довольно легко найти.
Чтобы устранить эту уязвимость, Ruge рекомендует отключить Bluetooth и включать его только «если это строго необходимо». Если вам нужно активировать Bluetooth, рекомендуется установить устройство не обнаруживаемым для сопряжения с другими устройствами.