Naukowcy z niemieckiej firmy zajmującej się bezpieczeństwem informacji ERNW odkryli lukę w Bluetooth na urządzeniach z Androidem. Wykorzystanie luki umożliwia atakującemu znajdującemu się w zasięgu Bluetooth uzyskanie dostępu do danych przechowywanych na urządzeniu użytkownika, a także umożliwia pobranie szkodliwego oprogramowania bez konieczności podejmowania jakichkolwiek działań ze strony ofiary.
Luka, o której mowa, została zidentyfikowana jako CVE-2020-0022. Dotyczy urządzeń z systemem Android 9 (Pie), Android 8 (Oreo). Możliwe, że problem dotyczy także wcześniejszych wersji platformy programowej, jednak badacze nie zweryfikowali tej informacji. Jeśli chodzi o Androida 10, próba wykorzystania tej luki na urządzeniu z tym systemem operacyjnym kończy się zawieszeniem Bluetooth.
W raporcie zauważono, że aby wykorzystać lukę, osoba atakująca nie musi zmuszać ofiary do podjęcia jakichkolwiek działań, wystarczy znać adres MAC.
Luka została odkryta 3 listopada 2019 roku, po czym badacze powiadomili o niej programistów z Google. Problem został ostatecznie rozwiązany w lutowej aktualizacji zabezpieczeń dla platformy Android. Użytkownikom zaleca się zainstalowanie tego pakietu aktualizacji, aby uniknąć potencjalnych problemów związanych z kradzieżą danych Bluetooth.
Eksperci zalecają, aby użytkownicy korzystali z Bluetooth w miejscach publicznych tylko wtedy, gdy jest to konieczne. Ponadto nie należy udostępniać urządzenia innym użytkownikom oraz nie należy wyszukiwać gadżetów dostępnych poprzez Bluetooth. W każdym razie te środki ostrożności będą obowiązywać do czasu zainstalowania przez użytkowników lutowej aktualizacji na swoich urządzeniach.
Źródło: 3dnews.ru