Исследователи из немецкой компании ERNW, работающей в сфере информационной безопасности, обнаружили уязвимость в Bluetooth на Android-устройствах. Эксплуатация уязвимости позволяет злоумышленнику, находящемуся в радиусе действия Bluetooth, получать доступ к хранящимся на пользовательском устройстве данным, а также делает возможным загрузку вредоносного ПО, причём без каких-либо действий со стороны жертвы.
Упомянутая уязвимость была идентифицирована как CVE-2020-0022. Она затрагивает устройства с Android 9 (Pie), Android 8 (Oreo). Возможно, проблема актуальна и для более ранних версий программной платформы, но исследователи не проверяли эту информацию. Что касается Android 10, то попытка эксплуатации данной уязвимости на устройстве с этой ОС приводит к зависанию Bluetooth.
В отчёте отмечается, что для эксплуатации уязвимости злоумышленнику не нужно вынуждать жертву сделать какое-либо действие, достаточно знать MAC-адрес.
Уязвимость была обнаружена 3 ноября 2019 года, после чего исследователи уведомили о ней разработчиков из Google. В конечном счёте, проблема была решена в февральском обновлении безопасности для платформы Android. Пользователям рекомендуется установить этот пакет обновлений, чтобы избежать возможных проблем с кражей данных по Bluetooth.
Специалисты рекомендуют пользователям использовать Bluetooth в общественных местах только в случае необходимости. Кроме того, не стоит делать устройство видимым для других пользователей, а также не следует осуществлять поиск доступных по Bluetooth гаджетов. Во всяком случае, эти меры предосторожности останутся актуальными до тех пор, пока пользователи не установят на свои устройства февральское обновление.
Горячие темы