Otkrivena kritična Bluetooth ranjivost u Androidu koja se može iskoristiti za instaliranje malvera

Mobilni telefoni, 07.02.2020, 04:30 AM

Otkrivena kritična Bluetooth ranjivost u Androidu koja se može iskoristiti za instaliranje malvera

Korisnici Androida pozvani su da instaliraju najnovije sigurnosne zakrpe za operativni sistem koje su objavljene u ponedeljak, a koje treba da reše problem sa kritičnom Bluetooth ranjivošću.

Napadač bez učešća korisnika može iskoristiti sigurnosni propust, CVE-2020-0022, kako bi pokrenuo maliciozni kod na uređaju sa povišenim privilegijama kada je bežični modul aktivan.

Bag je otkrio Jan Rudž sa Tehničkog univerziteta Darmstadt a on je kritičan za Android Oreo (8.0 i 8.1) i Pie (9) gde može dovesti do pokretanja malicioznog koda.

Prema rečima istraživača, napadači bi mogli da koriste ovaj bag za širenje malvera sa jednog ranjivog uređaja na drugi, poput crva. Međutim, prenos je ograničen na kratku udaljenost koju pokriva Bluetooth.

Jedini preduslov da bi bag bio uspešno iskorišćen je poznavanje Bluetooth MAC adrese. To ipak nije teško pronaći.

“Za neke uređaje Bluetooth MAC adresa se može zaključiti iz WiFi MAC adrese”, kaže istraživač.

Na Androidu 10, ovaj bag ima umeren uticaj a može uticati i na verzije Androida starije od 8.0, ali taj uticaj na njih nije procenjen.

Ozbiljnost problema je ono što sprečava istraživača da otkrije tehničke detalje i kod (PoC) koji bi dokazao njegovo otkriće.

Iako je zakrpa dostupna, proizvođači uređaja i mobilni operateri moraju je isporučiti na korisničke uređaje. Za uređaje koji su i dalje podržani može proći nekoliko nedelja dok se ažuriranje ne pojavi.

Ako vam zakrpa ne bude dostupna, Rudž preporučuje omogućavanje Bluetootha samo „ako je to striktno potrebno“. Ako ga treba aktivirati, vodite računa da uređaj bude vidljiv samo uređaju sa kojim se uparuje.

Rudž kaže da će za ovu ranjivost biti dostupan tehnički izveštaj čim budu sigurni da su zakrpe stigle do krajnjih korisnika.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Britansko nadzorno telo koje kontroliše poštovanje standarda oglašavanja (ASA) zabranilo je dve reklame za mobilne igre zbog toga što obmanjuju ko... Dalje

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Istraživači Microsofta otkrili su novu verziju sofisticiranog ransomwarea za Android poznatog pod imenom MalLocker koji zaključava mobilne uređaje... Dalje

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Google je ovog leta uklonio više od 240 Android aplikacija iz Play prodavnice zbog prikazivanja vankontekstualnih oglasa i kršenja novouvedenih Goog... Dalje

Chrome će upozoravati korisnike Androida i iPhonea kada im je lozinka hakovana

Chrome će upozoravati korisnike Androida i iPhonea kada im je lozinka hakovana

Chrome sada i na vašem pametnom telefonu može da proveri da li su vaše lozinke hakovane. Ta funkcija je ranije radila samo na računarima, ali sada... Dalje

Bag u aplikaciji za upoznavanje Grindr: Za hakovanje naloga dovoljno je znati email adresu korisnika

Bag u aplikaciji za upoznavanje Grindr: Za hakovanje naloga dovoljno je znati email adresu korisnika

Od aplikacije za upoznavanje koja zna seksualnost i HIV status korisnika očekivalo bi se da preduzima mere predostrožnosti kako bi te informacije za... Dalje