谷歌修复安卓蓝牙组件中无需用户交互的 bug
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周,谷歌修复了安卓蓝牙组件中的一个严重缺陷。如未被修复,则该漏洞可在无需用户交互的情况下遭利用,甚至可被用于自传播蓝牙蠕虫。
谷歌已经发布2020年2月安卓安全通告修复了这些漏洞,用户可在本周起下载这些修复方案。这个漏洞的编号为 CVE-2020-0022,是由德国网络安全公司 ERNW 发现并报告给谷歌的。
可被用于创建自传播蓝牙蠕虫
研究人员指出,利用该 bug 无需用户交互,所需的只是用户在设备上启用蓝牙。
然而,虽然按这种要求操作在过去能够限制攻击面,但今天去无法做到,因为当代安卓操作系统默认启用蓝牙并且很多安卓用户使用蓝牙耳机意味着很多手持设备上均启用了蓝牙服务。
攻击要求和目标保持近距离,但对于任何一种蓝牙利用来说即使如此。ERNW 公司的研究人员表示该漏洞可导致攻击者“以蓝牙守护进程的权限静默执行任意代码”。他们表示,“无需用户交互,只需获悉目标设备的蓝牙 MAC 地址即可。对于某些设备而言,蓝牙 MAC 地址可从 WiFi MAC 地址获取。该漏洞可导致个人数据被盗,并可被用于传播恶意软件(近距离蠕虫)”。
影响安卓9及更早版本
该漏洞已在安卓8和9上成功测试,但研究人员认为更早版本也可能易受攻击。
CVE-2020-0022并无法在安卓10上运行,它仅能导致蓝牙守护进程崩溃。
ERNW 公司团队表示计划不久之后发布相关漏洞技术详情,但同时他们向安卓用户发布警告以及更多的时间来安装2020年2月份发布的安全更新。
如果用户出于各种原因无法更新,则可遵照如下简单规则阻止攻击:
只有在要求严格的情况下启用蓝牙
使自己的设备无法被发现。多数设备只有在用户进入蓝牙扫描目录时才是可发现的。尽管如此,某些老旧设备在永久期限内可能会被发现。
ERNW 团队表示计划发布 PoC 代码复现该 bug,而这很可能会被恶意人员利用。
推荐阅读
原文链接
https://www.zdnet.com/article/google-fixes-no-user-interaction-bug-in-androids-bluetooth-component/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~