CVE-2020-0022は、Bluetoothで潜在的に危険なリモートコード実行の脆弱性です. このバグは、Androidの2月のセキュリティアップデートの修正の1つです。. この欠陥は、ERNWのドイツのセキュリティ研究者によって発掘され報告されました.
CVE-2020-0022: これまでに知られていること
ドイツのチームは11月にバグを報告しました, 2019. 彼らによると 報告, バグを悪用するためにユーザーの操作は必要ありません, Bluetoothが有効になっている状態:
Androidの場合 8.0 に 9.0, 近接するリモートの攻撃者は、Bluetoothが有効になっている限り、Bluetoothデーモンの権限で任意のコードをサイレントに実行できます。. ユーザーの操作は不要で、ターゲットデバイスのBluetoothMACアドレスのみを知る必要があります. 一部のデバイスの場合, BluetoothMACアドレスはWiFiMACアドレスから推測できます. この脆弱性は個人データの盗難につながる可能性があり、マルウェアの拡散に使用される可能性があります (短距離ワーム).
CVE-2020-0022はAndroidでは悪用できないことに注意してください 10 技術的な理由で、Bluetoothデーモンのクラッシュのみが発生します.
バージョンより古いAndroidバージョン 8.0 影響を受ける可能性もありますが、研究者は最終的な影響を評価していません. 脆弱性の影響を受けていると思われるユーザーは、有線ヘッドホンに切り替えて、Androidデバイスが公の場で発見されないようにする必要があります。.
2月のAndroidセキュリティ速報でも修正されたその他のバグ 2020
CVE-2020-0022は、今月のGoogleアップデートのシェアで修正された20の脆弱性の1つにすぎません。. これらの脆弱性のうち6つはシステムコンポーネントに存在します, Bluetoothを含む. その他の欠陥には、Androidバージョンに影響を与える2つの情報開示バグと2つの特権昇格バグが含まれます。 8 に 10.
Androidフレームワークには7つの脆弱性があります, そのうちの3つは情報開示を可能にします. 他の3つは特権昇格タイプです, 1つはサービス拒否の問題です.
Qualcommコンポーネントには他のものが含まれています 10 バグ, そのうちの4つはセキュリティリスクが高いと評価されています. でも, 問題はクローズドソースコンポーネントに関係しているため、これ以上の情報は提供されません。.
Androidデバイスのユーザーは、エクスプロイトを回避するために、すぐにシステムにパッチを適用することをお勧めします. 詳細については、 Androidのセキュリティ情報.
8月に 2019, セキュリティスペシャリストのチーム 重大な脅威を検出しました Bluetooth対応デバイスに影響を与えた. これは、KNOB Bluetoothの脆弱性として知られており、悪意のあるオペレーターがターゲットのエンドデバイスを攻撃すると同時に、接続開始プロセス中に機密性の高い暗号化キーを盗むことを可能にしました。. セキュリティレポートは、問題が作成された技術仕様に起因することを示しました 20 数年前.