I Pepeluali Ua hoʻopaʻa ʻia ka pilikia koʻikoʻi paepae Android (CVE-2020-0022) i ka pūʻulu Bluetooth, e ʻae ai i ka hoʻokō ʻana i nā code mamao ma o ka hoʻouna ʻana i kahi ʻeke Bluetooth i hoʻolālā ʻia. Hiki ke ʻike ʻole ʻia ka pilikia e ka mea hoʻouka kaua i loko o ka laulā Bluetooth. Hiki ke hoʻohana ʻia ka nāwaliwali e hana i nā ilo e hoʻopōʻino i nā mea pili i ke kaulahao.
No ka hoʻouka kaua, lawa ia e ʻike i ka helu MAC o ka mea i hoʻopaʻa ʻia (ʻaʻole koi ʻia ka hoʻopili mua ʻana, akā pono e hoʻohuli ʻia ke Bluetooth ma ka hāmeʻa). Ma kekahi mau polokalamu, hiki ke helu ʻia ka helu Bluetooth MAC ma muli o ka helu Wi-Fi MAC. Inā hoʻohana maikaʻi ʻia ka nāwaliwali, hiki i ka mea hoʻouka ke hoʻokō i kāna code me nā kuleana o kahi kaʻina hana hope e hoʻonohonoho i ka hana o Bluetooth ma Android.
ʻO ka pilikia pili i ka Bluetooth stack i hoʻohana ʻia ma Android (ma muli o ke code mai ka papahana BlueDroid mai Broadcom) a ʻaʻole i ʻike ʻia ma ka waihona BlueZ i hoʻohana ʻia ma Linux.
Ua hiki i nā mea noiʻi i ʻike i ka pilikia ke hoʻomākaukau i kahi prototype hana o ka hoʻohana ʻana, akā e ʻike ʻia nā kikoʻī o ka hoʻohana. ma hope aku, ma hope o ka ʻōwili ʻia ʻana o ka hoʻoponopono i ka hapa nui o nā mea hoʻohana. ʻIke wale ʻia aia ka nāwaliwali i ke code no ke kūkulu hou ʻana i nā pūʻolo a helu hewa ʻole o ka nui o nā ʻeke L2CAP (Logical link control and adaptation protocol), inā ʻoi aku ka nui o ka ʻikepili i hoʻouna ʻia e ka mea hoʻouna.
Ma ka Android 8 a me 9, hiki i ka pilikia ke alakaʻi i ka hoʻokō code, akā i ka Android 10 ua kaupalena ʻia i ka hāʻule ʻana o ke kaʻina hana Bluetooth. Hiki ke hoʻopilikia ʻia nā hoʻokuʻu kahiko o Android e ka pilikia, akā ʻaʻole i hoʻāʻo ʻia ka hoʻohana ʻana o ka nāwaliwali. Manaʻo ʻia nā mea hoʻohana e hoʻokomo i ka firmware hou i ka wā hiki loa, a inā ʻaʻole hiki, e hoʻopau iā Bluetooth ma ke ʻano maʻamau, e pale i ka ʻike ʻana o ka mea hana, a hoʻāla i ka Bluetooth ma nā wahi ākea inā pono wale nō (me ka hoʻololi ʻana i nā headphone uea ʻole me nā mea uea).
Ma waho aʻe o ka pilikia i ʻike ʻia ma ʻO ka hoʻonohonoho o nā hoʻoponopono palekana no ka Android ua hoʻopau i 26 mau nāwaliwali, kahi o kahi nāwaliwali (CVE-2020-0023) i hāʻawi ʻia i kahi kūlana koʻikoʻi o ka pōʻino. ʻO ka lua o ka nāwaliwali Pūʻulu Bluetooth a pili pū me ka hana hewa ʻana o ka pono BLUETOOTH_PRIVILEGED ma setPhonebookAccessPermission. Ma nā ʻōlelo o nā nāwaliwali i hōʻailona ʻia he koʻikoʻi nui, ua ʻōlelo ʻia nā pilikia 7 i nā frameworks a me nā noi, 4 i nā ʻōnaehana ʻōnaehana, 2 i ka kernel, a me 10 i nā kumu ākea a me nā mea pono no nā chips Qualcomm.
Source: opennet.ru