Des chercheurs de la société allemande de sécurité de l'information ERNW ont découvert une vulnérabilité dans Bluetooth sur les appareils Android. L'exploitation de la vulnérabilité permet à un attaquant à portée Bluetooth d'accéder aux données stockées sur l'appareil de l'utilisateur, et permet également de télécharger des logiciels malveillants sans aucune action de la part de la victime.
La vulnérabilité en question a été identifiée comme CVE-2020-0022. Cela affecte les appareils équipés d'Android 9 (Pie), Android 8 (Oreo). Il est possible que le problème s'applique également aux versions antérieures de la plateforme logicielle, mais les chercheurs n'ont pas vérifié cette information. Quant à Android 10, une tentative d'exploitation de cette vulnérabilité sur un appareil exécutant cet OS entraîne le blocage du Bluetooth.
Le rapport note que pour exploiter la vulnérabilité, l'attaquant n'a pas besoin de forcer la victime à entreprendre une action ; il suffit de connaître l'adresse MAC.
La vulnérabilité a été découverte le 3 novembre 2019, après quoi les chercheurs en ont informé les développeurs de Google. Le problème a finalement été résolu dans la mise à jour de sécurité de février pour la plateforme Android. Il est conseillé aux utilisateurs d'installer ce package de mise à jour pour éviter les problèmes potentiels liés au vol de données Bluetooth.
Les experts recommandent aux utilisateurs d'utiliser Bluetooth dans les lieux publics uniquement lorsque cela est nécessaire. De plus, vous ne devez pas rendre l'appareil visible aux autres utilisateurs et vous ne devez pas rechercher de gadgets disponibles via Bluetooth. Dans tous les cas, ces précautions resteront en vigueur jusqu'à ce que les utilisateurs installent la mise à jour de février sur leurs appareils.
Source: 3dnews.ru