neprihlásený Štvrtok, 25. júla 2024, dnes má meniny Jakub
Chyba v Bluetooth v Androide umožňuje červa infikujúceho okolité telefóny

Značky: AndroidbezpečnosťBluetooth

DSL.sk, 7.2.2020


V implementácii bezdrôtového protokolu Bluetooth v Androide sa nachádza kritická bezpečnostná zraniteľnosť, ktorá umožňuje cez Bluetooth útok bez akejkoľvek súčinnosti užívateľa vyúsťujúci do spustenia útočníkom zvoleného kódu.

Aktuálne na to upozornila nemecká bezpečnostná spoločnosť ERNW, ktorá chybu identifikovala.

Zraniteľnosť CVE-2020-0022 umožňuje útočníkovi spustiť na Android zariadení ľubovoľný kód s oprávneniami Bluetooth daemona, stačí ak je zapnutý Bluetooth a útočník pozná MAC adresu Bluetooth. Pre časť zariadení sa dá MAC adresa ale odvodiť z WiFi MAC adresy, upozorňuje ERNW.

Napadnutý smartfón môže rovnakým spôsobom napádať ďalšie smartfóny a zraniteľnosť tak umožňuje vytvorenie samo sa šíriaceho červa.

Aké oprávnenia má Bluetooth daemon, aký môže mať takáto infekcia dopad a k čomu všetkému má škodlivý kód prístup ERNW neinformuje. Základné informácie boli zverejnené po vydaní opravy v rámci februárových aktualizácií oficiálnych zdrojových kódov Androidu od Google, aktualizácie pre jednotlivé smartfóny musia ale sprístupniť jednotliví výrobcovia a až po ich rozšírení plánuje ERNW zverejniť technické detaily.

Zraniteľnosť je zneužiteľná s takýmito dopadmi na Androide 8 a 9, ktoré sú spolu na väčšine Android smartfónov. Prítomná je zrejme aj v nižších verziách, tam spoločnosť dopady neoverovala. V Androide 10 je zraniteľnosť prítomná, jej zneužitie ale vedie len k pádu Bluetooth daemona.

Do dostupnosti februárových bezpečnostných aktualizácií pre daný smartfón je odporúčané mať Bluetooth vypnutý a zapínať ho len v prípade nutnosti, zároveň nemať zariadenie nastavené ako vyhľadateľné cez Bluetooth.


      Zdieľaj na Twitteri



Najnovšie články:

Linux Mint 22 postavený na novom Ubuntu dokončený, oficiálne bude vydaný tento týždeň
AMD má problém s kvalitou Ryzenov 9000, sťahuje ich od distribútorov a posúva uvedenie
CrowdStrike partnerom za globálny IT incident zrejme poslala 10-dolárový darčekový kupón
V novom Linuxe výrazne zrýchli šifrovanie použité v TLS
CrowdStrike poskytla nové technické detaily k príčine BSoD, šéfa si predvolal Kongres USA
Uvedený lacnejší WiFi 7 router, s cenou nad 100 eur
Apple napreduje so skladateľným iPhonom, bude konštrukcie véčka a mohol by prísť v 2026
Alza vrátila možnosť zobraziť si iba nové produkty
Nestabilitu niektorých nedávnych Intel CPU spôsobuje mikrokód, sú nenávratne poškodené
Google nakoniec zrušil vypnutie cookies tretích strán v Chrome


Diskusia:
                               
 

Nasa macka mala cervy ale zeby mala z toho modre zuby to nie.
Odpovedať Známka: 5.7 Hodnotiť:
 

Naša mačka chytila olovo tak radšej ušla k susedovi.
Odpovedať Známka: -7.3 Hodnotiť:
 

Čo chytila mačka nikoho netrápi, horšie je čo môžeš chytiť od mačky.

2002 SARS CoV - maso z cibetky
2012 MERS CoV - ťavie maso
2019 Wuhan CoV - polievka z netopiera?
Odpovedať Známka: 4.0 Hodnotiť:
 

Nežer mačky - začni makať, budeš mať na normálne žrádlo :D
Odpovedať Známka: 7.6 Hodnotiť:
 

Ja mám radšej žrádlo pre mačky.
Odpovedať Známka: 7.5 Hodnotiť:
 

Ale vieš o tom že v tom nie je mäso.
Odpovedať Známka: 0.0 Hodnotiť:
 

ja sa radsej pomackam s nejakou macickou
Odpovedať Známka: 10.0 Hodnotiť:
 

Princíp dvojfaktorového overovania je teda možné názorne vysvetliť ako prevlečenie nite uchom ihly a následne priekazne ešte otvorenými vrátami na stodole.
Odpovedať Známka: 1.2 Hodnotiť:
 

detail problému sa asi nikdy nedozvieme, lebo februárové záplaty nikdy väčšina ani neuvidí
Odpovedať Známka: 10.0 Hodnotiť:
 

v pohode, je vyhodou mat open source os na mobile
lebo urcite zaplata bude do 10 minut a vsetci updatnuti do hodiny.


Odpovedať Známka: 6.9 Hodnotiť:
 

Presne tak. Lenže dosah Bluetooth je na dohodenie kameňom, takže načo plátať, keď quickfix je vždy priekazne na dosah.
Odpovedať Známka: 6.0 Hodnotiť:
 

Na iOS by sa takáto vec nestala, pretože to je systém pre pro používateľov, nie ako Handroid pre chudobu.
Odpovedať Známka: -3.8 Hodnotiť:
 

Chudoba sa nemeria len peniazmi.
Odpovedať Známka: 10.0 Hodnotiť:
 

mas pravdu na iOS nepotrebujes ani zapnuty bluetooth aby si sa prihlasil s pravami roota
Odpovedať Známka: 7.8 Hodnotiť:
 

handroid a iOS = z hovna do sraciek, jednoducho 3pismenkove organizacie a yebla vlada moze za to ze nemozeme mat dobry OS...
Odpovedať Hodnotiť:

Pridať komentár