ProHoster > Блог > ayelujara iroyin > Ailagbara ni Android ti o fun laaye ipaniyan koodu isakoṣo latọna jijin nigbati Bluetooth wa ni titan

Ailagbara ni Android ti o fun laaye ipaniyan koodu isakoṣo latọna jijin nigbati Bluetooth wa ni titan

Ni Kínní isọdọtun Android Syeed lominu ni isoro ti o wa titi ailagbara (CVE-2020-0022) ninu akopọ Bluetooth, eyiti ngbanilaaye ipaniyan koodu isakoṣo latọna jijin nipasẹ fifiranṣẹ soso Bluetooth ti a ṣe apẹrẹ pataki kan. Iṣoro naa le jẹ airi nipasẹ olutayo laarin ibiti Bluetooth. O ṣee ṣe pe ailagbara naa le ṣee lo lati ṣẹda awọn kokoro ti o ṣe akoran awọn ẹrọ adugbo ni ẹwọn kan.

Fun ikọlu, o to lati mọ adiresi MAC ti ẹrọ olufaragba (iṣaaju-pipa ko nilo, ṣugbọn Bluetooth gbọdọ wa ni titan lori ẹrọ naa). Lori awọn ẹrọ miiran, adiresi MAC Bluetooth le ṣe iṣiro da lori adiresi MAC Wi-Fi. Ti ailagbara naa ba jẹ ilokulo aṣeyọri, ikọlu le ṣiṣẹ koodu rẹ pẹlu awọn ẹtọ ti ilana isale ti o ṣe ipoidojuko iṣẹ Bluetooth ni Android.
Iṣoro naa jẹ pato si akopọ Bluetooth ti a lo ninu Android Fluoride (da lori koodu lati BlueDroid ise agbese lati Broadcom) ati pe ko han ninu akopọ BlueZ ti a lo lori Lainos.

Awọn oniwadi ti o ṣe idanimọ iṣoro naa ni anfani lati mura apẹrẹ iṣẹ ti ilokulo, ṣugbọn awọn alaye ti ilokulo yoo jẹ fi han nigbamii, lẹhin ti awọn fix ti a ti yiyi jade si awọn opolopo ninu awọn olumulo. O ti wa ni nikan mọ pe awọn palara jẹ bayi ni awọn koodu fun Títún jo ati ṣẹlẹ isiro ti ko tọ ti awọn iwọn L2CAP (Logical ọna asopọ Iṣakoso ati aṣamubadọgba Ilana) awọn apo-iwe, ti o ba ti awọn data zqwq nipasẹ awọn Olu koja awọn ti ṣe yẹ iwọn.

Ni Android 8 ati 9, iṣoro naa le ja si ipaniyan koodu, ṣugbọn ni Android 10 o ni opin si jamba ti ilana Bluetooth lẹhin. Awọn idasilẹ atijọ ti Android ni agbara ni ipa nipasẹ ọran naa, ṣugbọn ilokulo ti ailagbara naa ko ti ni idanwo. A gba awọn olumulo niyanju lati fi imudojuiwọn famuwia sori ẹrọ ni kete bi o ti ṣee, ati pe ti eyi ko ba ṣee ṣe, pa Bluetooth nipasẹ aiyipada, ṣe idiwọ wiwa ẹrọ, mu Bluetooth ṣiṣẹ ni awọn aaye gbangba nikan nigbati o jẹ dandan (pẹlu rirọpo awọn agbekọri alailowaya pẹlu awọn ti a firanṣẹ).

Ni afikun si iṣoro ti a ṣe akiyesi ni Kínní Eto ti awọn atunṣe aabo fun Android yọkuro awọn ailagbara 26, eyiti eyiti ailagbara miiran (CVE-2020-0023) ti yan ipele eewu to ṣe pataki. Ailagbara keji tun jẹ ni ipa lori Akopọ Bluetooth ati pe o ni nkan ṣe pẹlu sisẹ ti ko tọ ti anfani BLUETOOTH_PRIVILEGED ni setPhonebookAccessPermission. Ni awọn ofin ti awọn ailagbara ti a fihan bi eewu giga, awọn ọran 7 ni a koju ni awọn ilana ati awọn ohun elo, 4 ni awọn paati eto, 2 ninu ekuro, ati 10 ni orisun ṣiṣi ati awọn paati ohun-ini fun awọn eerun Qualcomm.

orisun: opennet.ru

Fi ọrọìwòye kun