首頁 > 安全研究 > 安全通報 > 安全通告

安卓藍牙組件任意代碼執行漏洞風險通告

發布時間 2020-02-11

漏洞編號和級別


CVE編號:CVE-2020-0022,危險級別:嚴重,CVSS分值:廠商未評定


影響版本



漏洞概述


近日,谷歌修復了安卓藍牙組件中的一個嚴重缺陷。如未被修復,則該漏洞可在無需用戶交互的情況下遭利用,甚至可被用于自傳播藍牙蠕蟲。


在安卓8.0到9.0系統中,在藍牙開啟的情況下,遠程攻擊者在一定距離范圍內可以以藍牙守護程序的權限靜默執行任意代碼。整個過程無需用戶交互,只需要知道目標設備的藍牙MAC地址就可以了。而對一些設備,藍牙的MAC地址可以通過WiFi MAC地址推算出來。該漏洞可能引發個人數據被竊,或用于傳播惡意軟件(短距離蠕蟲)。


在安卓10系統中,該漏洞無法被利用,但可能會引發藍牙守護進程崩潰。


低于安卓8.0的版本中也受到該漏洞的影響,但研究人員沒有評估該影響。


研究人員稱將在終端用戶獲得補丁后發布關于該漏洞的詳細技術分析報告和PoC代碼。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布新版本以修復漏洞,詳見鏈接:https://www.intelliantech.com/?lang=en。


參考鏈接


https://www.zdnet.com/article/google-fixes-no-user-interaction-bug-in-androids-bluetooth-component/


上一篇 下一篇