Saksalaisen tietoturvayhtiön ERNW:n tutkijat ovat havainneet haavoittuvuuden Android-laitteiden Bluetoothissa. Haavoittuvuuden hyödyntäminen mahdollistaa Bluetooth-kantaman sisällä olevan hyökkääjän pääsyn käyttäjän laitteelle tallennettuihin tietoihin ja mahdollistaa myös haittaohjelmien lataamisen ilman uhrin toimenpiteitä.
Kyseinen haavoittuvuus on tunnistettu nimellä CVE-2020-0022. Se vaikuttaa laitteisiin, joissa on Android 9 (Pie), Android 8 (Oreo). On mahdollista, että ongelma koskee myös ohjelmistoalustan aiempia versioita, mutta tutkijat eivät ole vahvistaneet tätä tietoa. Mitä tulee Android 10:een, yritys hyödyntää tätä haavoittuvuutta tätä käyttöjärjestelmää käyttävässä laitteessa johtaa Bluetoothin jumiutumiseen.
Raportissa todetaan, että haavoittuvuuden hyödyntämiseksi hyökkääjän ei tarvitse pakottaa uhria mihinkään toimiin, riittää, että tietää MAC-osoitteen.
Haavoittuvuus löydettiin 3, minkä jälkeen tutkijat ilmoittivat siitä Googlen kehittäjille. Ongelma ratkesi lopulta Android-alustan helmikuun tietoturvapäivityksessä. Käyttäjiä kehotetaan asentamaan tämä päivityspaketti, jotta vältytään mahdollisilta Bluetooth-tietovarkauksilta.
Asiantuntijat suosittelevat, että käyttäjät käyttävät Bluetoothia julkisilla paikoilla vain tarvittaessa. Lisäksi laitetta ei saa asettaa muiden käyttäjien nähtäville, eikä Bluetoothin kautta saatavilla olevia gadgeteja saa etsiä. Joka tapauksessa nämä varotoimet ovat voimassa, kunnes käyttäjät asentavat helmikuun päivityksen laitteilleen.
Lähde: 3dnews.ru