A német ERNW információbiztonsági vállalat kutatói sérülékenységet fedeztek fel az Android-eszközök Bluetooth funkciójában. A sérülékenység kihasználása lehetővé teszi a Bluetooth-hatókörön belüli támadó számára, hogy hozzáférjen a felhasználó eszközén tárolt adatokhoz, és lehetővé teszi a rosszindulatú programok letöltését az áldozat minden lépése nélkül.
A szóban forgó biztonsági rés a CVE-2020-0022. Az Android 9 (Pie), Android 8 (Oreo) rendszert futtató eszközöket érinti. Lehetséges, hogy a probléma a szoftverplatform korábbi verzióira is vonatkozik, de a kutatók nem ellenőrizték ezeket az információkat. Ami az Android 10-et illeti, a sérülékenység kihasználására tett kísérlet ezt az operációs rendszert futtató eszközön a Bluetooth lefagyását eredményezi.
A jelentés megjegyzi, hogy a sérülékenység kihasználásához a támadónak nem kell semmilyen lépésre kényszerítenie az áldozatot, elegendő a MAC-cím ismerete.
A sérülékenységet 3. november 2019-án fedezték fel, majd a kutatók értesítették róla a Google fejlesztőit. A problémát végül az Android platform februári biztonsági frissítése oldotta meg. Javasoljuk, hogy a felhasználók telepítsék ezt a frissítőcsomagot, hogy elkerüljék a Bluetooth-adatlopással kapcsolatos esetleges problémákat.
A szakértők azt javasolják, hogy a felhasználók nyilvános helyeken csak szükség esetén használják a Bluetooth-t. Ezenkívül nem szabad más felhasználók számára láthatóvá tenni az eszközt, és nem szabad Bluetooth-on keresztül elérhető kütyüket keresni. Ezek az óvintézkedések mindenesetre érvényben maradnak mindaddig, amíg a felhasználók fel nem telepítik a februári frissítést eszközeikre.
Forrás: 3dnews.ru