புரோஹோஸ்டர் > Блог > இணைய செய்தி > புளூடூத் இயக்கப்பட்டிருக்கும் போது தொலைநிலைக் குறியீட்டைச் செயல்படுத்த அனுமதிக்கும் ஆண்ட்ராய்டில் பாதிப்பு

புளூடூத் இயக்கப்பட்டிருக்கும் போது தொலைநிலைக் குறியீட்டைச் செயல்படுத்த அனுமதிக்கும் ஆண்ட்ராய்டில் பாதிப்பு

பிப்ரவரியில் மேம்படுத்தல் ஆண்ட்ராய்டு இயங்குதளத்தின் முக்கியமான சிக்கல் சரி செய்யப்பட்டது பாதிப்பு (CVE-2020-0022) புளூடூத் அடுக்கில் உள்ளது, இது பிரத்யேகமாக வடிவமைக்கப்பட்ட புளூடூத் பாக்கெட்டை அனுப்புவதன் மூலம் ரிமோட் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. புளூடூத் வரம்பில் உள்ள தாக்குபவர்களால் சிக்கலைக் கண்டறிய முடியாது. ஒரு சங்கிலியில் அண்டை சாதனங்களைப் பாதிக்கும் புழுக்களை உருவாக்க பாதிப்பு பயன்படுத்தப்படலாம்.

தாக்குதலுக்கு, பாதிக்கப்பட்டவரின் சாதனத்தின் MAC முகவரியை அறிந்தால் போதும் (முன்-இணைத்தல் தேவையில்லை, ஆனால் சாதனத்தில் புளூடூத் இயக்கப்பட்டிருக்க வேண்டும்). சில சாதனங்களில், Wi-Fi MAC முகவரியின் அடிப்படையில் புளூடூத் MAC முகவரி கணக்கிடப்படலாம். பாதிப்பு வெற்றிகரமாகப் பயன்படுத்தப்பட்டால், ஆண்ட்ராய்டில் புளூடூத்தின் செயல்பாட்டை ஒருங்கிணைக்கும் பின்னணி செயல்முறையின் உரிமைகளுடன் தாக்குபவர் தனது குறியீட்டை இயக்க முடியும்.
ஆண்ட்ராய்டில் பயன்படுத்தப்படும் புளூடூத் ஸ்டேக்கின் குறிப்பிட்ட பிரச்சனை ஃப்ளோரைடு (Broadcom இலிருந்து BlueDroid திட்டத்தின் குறியீட்டின் அடிப்படையில்) மற்றும் Linux இல் பயன்படுத்தப்படும் BlueZ அடுக்கில் தோன்றாது.

சிக்கலைக் கண்டறிந்த ஆராய்ச்சியாளர்கள் சுரண்டலின் செயல்பாட்டு முன்மாதிரியைத் தயாரிக்க முடிந்தது, ஆனால் சுரண்டலின் விவரங்கள் வெளிப்படுத்தப்பட்டது பின்னர், பிழைத்திருத்தம் பெரும்பாலான பயனர்களுக்கு வழங்கப்பட்ட பிறகு. பேக்கேஜ்கள் மற்றும் மறுகட்டமைப்பிற்கான குறியீட்டில் பாதிப்பு உள்ளது என்பது மட்டுமே அறியப்படுகிறது ஏற்படுத்தியது L2CAP (தருக்க இணைப்பு கட்டுப்பாடு மற்றும் தழுவல் நெறிமுறை) பாக்கெட்டுகளின் அளவு தவறான கணக்கீடு, அனுப்புநரால் அனுப்பப்பட்ட தரவு எதிர்பார்த்த அளவை விட அதிகமாக இருந்தால்.

ஆண்ட்ராய்டு 8 மற்றும் 9 இல், சிக்கல் குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும், ஆனால் ஆண்ட்ராய்டு 10 இல் இது பின்னணி புளூடூத் செயல்முறையின் செயலிழப்புக்கு மட்டுப்படுத்தப்பட்டுள்ளது. ஆண்ட்ராய்டின் பழைய வெளியீடுகள் சிக்கலால் பாதிக்கப்படலாம், ஆனால் பாதிப்பின் சுரண்டல் சோதனை செய்யப்படவில்லை. ஃபார்ம்வேர் புதுப்பிப்பை கூடிய விரைவில் நிறுவுமாறு பயனர்கள் அறிவுறுத்தப்படுகிறார்கள், இது சாத்தியமில்லை என்றால், இயல்புநிலையாக புளூடூத்தை முடக்கவும், சாதனம் கண்டுபிடிப்பதைத் தடுக்கவும், மற்றும் பொது இடங்களில் புளூடூத்தை செயல்படுத்தவும் (வயர்லெஸ் ஹெட்ஃபோன்களை மாற்றுவது உட்பட).

குறிப்பிடப்பட்ட பிரச்சனைக்கு கூடுதலாக பிப்ரவரி ஆண்ட்ராய்டுக்கான பாதுகாப்புத் திருத்தங்களின் தொகுப்பு 26 பாதிப்புகளை நீக்கியது, இதில் மற்றொரு பாதிப்பு (CVE-2020-0023) அபாயகரமான நிலைக்கு ஒதுக்கப்பட்டது. இரண்டாவது பாதிப்பும் கூட பாதிக்கிறது புளூடூத் ஸ்டேக் மற்றும் setPhonebookAccessPermission இல் BLUETOOTH_PRIVILEGED சிறப்புரிமையின் தவறான செயலாக்கத்துடன் தொடர்புடையது. அதிக ஆபத்து என கொடியிடப்பட்ட பாதிப்புகளின் அடிப்படையில், கட்டமைப்புகள் மற்றும் பயன்பாடுகளில் 7 சிக்கல்கள், கணினி கூறுகளில் 4, கர்னலில் 2 மற்றும் குவால்காம் சில்லுகளுக்கான திறந்த மூல மற்றும் தனியுரிம கூறுகளில் 10 ஆகியவை தீர்க்கப்பட்டன.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்