Onderzoekers van het Duitse informatiebeveiligingsbedrijf ERNW hebben een kwetsbaarheid ontdekt in Bluetooth op Android-apparaten. Door misbruik van de kwetsbaarheid kan een aanvaller binnen Bluetooth-bereik toegang krijgen tot gegevens die zijn opgeslagen op het apparaat van de gebruiker, en wordt het ook mogelijk om malware te downloaden zonder enige actie van het slachtoffer.
De betreffende kwetsbaarheid is geïdentificeerd als CVE-2020-0022. Het betreft apparaten met Android 9 (Pie), Android 8 (Oreo). Mogelijk geldt het probleem ook voor eerdere versies van het softwareplatform, maar onderzoekers hebben deze informatie niet geverifieerd. Wat Android 10 betreft, leidt een poging om dit beveiligingslek te misbruiken op een apparaat met dit besturingssysteem tot bevriezing van Bluetooth.
Het rapport merkt op dat om misbruik te kunnen maken van de kwetsbaarheid, de aanvaller het slachtoffer niet hoeft te dwingen actie te ondernemen; het is voldoende om het MAC-adres te kennen.
De kwetsbaarheid werd op 3 november 2019 ontdekt, waarna onderzoekers ontwikkelaars van Google hiervan op de hoogte brachten. Het probleem werd uiteindelijk opgelost in de beveiligingsupdate van februari voor het Android-platform. Gebruikers wordt geadviseerd dit updatepakket te installeren om mogelijke problemen met Bluetooth-gegevensdiefstal te voorkomen.
Deskundigen adviseren dat gebruikers Bluetooth alleen op openbare plaatsen gebruiken als dat nodig is. Daarnaast mag u het apparaat niet zichtbaar maken voor andere gebruikers en mag u niet zoeken naar gadgets die via Bluetooth beschikbaar zijn. Deze voorzorgsmaatregelen blijven in ieder geval van kracht totdat gebruikers de update van februari op hun apparaten installeren.
Bron: 3dnews.ru