Исправлена опасная уязвимость Bluetooth в ОС Android

Корпорация Google выпустила обновление безопасности для ОС Android, устраняющее опасную уязвимость CVE-2020-0022. Она была выявлена специалистами немецкой компании ERNW и затрагивает Bluetooth-компонент операционной системы. Главная угроза состоит в том, что эксплуатация уязвимости не требует никаких действий со стороны пользователя: достаточно лишь, чтобы передача данных по Bluetooth на его устройстве была включена. Но на многих современных Android-устройствах передача данных по Bluetooth включена по умолчанию, кроме того весьма популярны Bluetooth-наушники, поэтому потенциально уязвимость угрожает колоссальному количеству пользователей.

Уязвимость позволяет удаленно исполнить произвольный код с привилегиями Bluetooth демона - программы, обеспечивающей запуск и поддержку протокола в фоновом режиме. Исследователи ERNW полагают, что возможно даже создание эксплуатирующего эту уязвимость вируса: вредоносной программы, которая будет распространяться самостоятельно, инфицируя все новые устройства в радиусе действия Bluetooth. Правда, для атаки необходимо знать MAC-адрес Bluetooth целевого устройства, но и это решаемая проблема. Например, на многих устройствах его можно установить, зная MAC-адрес wi-fi. Проблема затрагивает версии операционной системы Android 8 и Android 9, но, возможно, распространяется и на более ранние версии. Что касается Android 10, то исполнение произвольного кода невозможно, атака ведет лишь к прерыванию работы Bluetooth. Пользователям Android-устройств рекомендовано срочно установить обновление ПО. Тем же, кто по каким-то причинам не может этого сделать, необходимо по возможности не включать передачу данных по Bluetooth.

Источник: ZDNet