安卓蓝牙组件恣意代码执行误差危害通告

宣布时间 2020-02-11

误差编号和级别


CVE编号:CVE-2020-0022 ,危险级别:严重 ,CVSS分值:厂商未评定


影响版本


耀世娱乐-科技赋能场景,让娱乐更有趣。


误差概述


克日 ,谷歌修复了安卓蓝牙组件中的一个严重缺陷 。如未被修复 ,则该误差可在无需用户交互的情形下遭使用 ,甚至可被用于自撒播蓝牙蠕虫 。


在安卓8.0到9.0系统中 ,在蓝牙开启的情形下 ,远程攻击者在一定距离规模内可以以蓝牙守护程序的权限静默执行恣意代码 。整个历程无需用户交互 ,只需要知道目的装备的蓝牙MAC地址就可以了 。而对一些装备 ,蓝牙的MAC地址可以通过WiFi MAC地址推算出来 。该误差可能引发小我私家数据被窃 ,或用于撒播恶意软件(短距离蠕虫) 。


在安卓10系统中 ,该误差无法被使用 ,但可能会引发蓝牙守护历程瓦解 。


低于安卓8.0的版本中也受到该误差的影响 ,但研究职员没有评估该影响 。


研究职员称将在终端用户获得补丁后宣布关于该误差的详细手艺剖析报告和PoC代码 。


误差验证


暂无PoC/EXP 。


修复建议


现在厂商已宣布新版本以修复误差 ,详见链接:https://www.intelliantech.com/?lang=en 。


参考链接


https://www.zdnet.com/article/google-fixes-no-user-interaction-bug-in-androids-bluetooth-component/