Laipẹ ni wọn ti gba itusilẹ imudojuiwọn imudojuiwọn Kínní Android, ninu eyiti o wa ti o wa titi ipalara ti o ṣe pataki (ti a ṣe akojọ bi CVE-2020-0022) lori akopọ Bluetooth, eyiti o fun ọ laaye lati ṣeto ipaniyan koodu latọna jijin nipasẹ fifiranṣẹ package Bluetooth ti a ṣe ni akanṣe.
Iṣoro naa ti pin bi pataki nitori eyi le jẹ ọlọgbọn lo nilokulo nipasẹ olutakoja laarin agbegbe Bluetooth ati pe tun eyi ko nilo ibaraenisepo pẹlu olufaragba rẹ. O ṣee ṣe pe a le ṣẹda ipalara kan lati ṣẹda awọn aran ti o pq awọn ẹrọ to wa nitosi.
Fun kolu kan, o to lati mọ adiresi MAC ti ẹrọ olufaragba naa (ko si nilo sisopọ akọkọ, ṣugbọn Bluetooth gbọdọ muu ṣiṣẹ lori ẹrọ). Lori diẹ ninu awọn ẹrọ, A le ṣe iṣiro adiresi MAC MAC da lori adiresi MAC Wi-Fi.
Ti ipalara naa ba ni aṣeyọri aṣeyọri, oluṣe kan le ṣe koodu rẹ pẹlu awọn ẹtọ ti ilana lẹhin ti o ṣe ipoidojuko iṣẹ ti Bluetooth lori Android. Iṣoro naa jẹ pato si akopọ Bluetooth ti a lo ni Android (da lori koodu ti Iṣẹ agbese BlueDroid ti Broadcom) ati pe ko han ninu akopọ BlueZ ti a lo ninu Linux.
Awọn oniwadii ẹniti o ṣe idanimọ iṣoro naa ni anfani lati ṣeto apẹrẹ iṣẹ ti lilo, ṣugbọn awọn alaye ti iṣẹ naa yoo tu silẹ nigbamii, lẹhin ti atunse de ọdọ ọpọlọpọ awọn olumulo.
O mọ nikan pe ipalara naa wa ninu koodu kọ package ati o ṣẹlẹ nipasẹ iṣiro ti ko tọ ti iwọn apo-iwe L2CAP (aṣamubadọgba ọna asopọ ọgbọn ati ilana iṣakoso) ti o ba jẹ pe data ti a firanṣẹ nipasẹ oluranja ti kọja iwọn ti a reti.
Ni Android 8.0 si 9.0, ikọlu ti o wa nitosi le fi ipalọlọ ṣiṣẹ koodu lainidii pẹlu awọn anfani ti daemon Bluetooth niwọn igba ti alabọde ibaraẹnisọrọ yii ti ṣiṣẹ.
Ko si ibaraenisọrọ olumulo ti o nilo ati adirẹsi Bluetooth MAC ti awọn ẹrọ afojusun nikan nilo lati mọ. Fun diẹ ninu awọn ẹrọ, adiresi MAC MAC ni a le yọ lati adirẹsi WiFi MAC. Ipalara yii le ja si jiji ti data ti ara ẹni ati pe o le lo lati tan malware. Ni Android 10, ailagbara yii ko le ṣe lo nilokulo fun awọn idi imọ-ẹrọ ati pe o mu ki daemon Bluetooth ṣubu nikan, ”awọn oluwadi ṣalaye.
Lori Android 8 ati 9, iṣoro le ja si ipaniyan koodu, funtabi ni Android 10 o ni opin si isubu ti ilana isale Bluetooth.
Awọn ẹya ti atijọ ti Android jẹ agbara ti o nira si iṣoro naa, ṣugbọn a ko ti danwo boya a le lo abuku yii ni aṣeyọri.
Ni afikun si iṣoro ti a ṣe akiyesi, ni Kọkànlá Oṣù ká Aabo Aabo Android, 26 awọn ipalara ti wa ni titọ, ti eyiti o jẹ ipalara miiran (CVE-2020-0023) ipele ipele eewu pataki kan.
Ipalara keji tun ni ipa lori akopọ Bluetooth ati pe o ni nkan ṣe pẹlu sisẹ anfaani ti ko tọ BLUETOOTH_PRIVILEGED ninu setPhonebookAccessPermission.
Nipa awọn ailagbara ti a samisi bi eewu, awọn iṣoro 7 ni a yanju ni awọn ilana ati awọn ohun elo, 4 ninu awọn paati eto, 2 ni ipilẹ ati 10 ni ṣiṣi ati ohun-ini oniwun fun awọn eerun Qualcomm.
Lakotan, a gba awọn olumulo niyanju lati fi sori ẹrọ imudojuiwọn famuwia ti a fi ranṣẹ. lori awọn ẹrọ rẹ ASAP ati pe ti eyi ko ba ṣeeṣe(kan si awọn miliọnu awọn ẹrọ lati awọn burandi ti o ṣe ifilọlẹ awọn ẹrọ ilamẹjọ) iyẹn yan fun aṣayan lati pa Bluetooth nipasẹ aiyipada (nitori ni opo o ko ni oye lati ni lori ni gbogbo awọn akoko yato si pe nipa ṣiṣe eyi wọn ṣe iranlọwọ lati mu igbesi aye batiri dara si) o tun gba ọ nimọran pe ki o eewọ wiwa ẹrọ ati tun mu Bluetooth ṣiṣẹ ni awọn aaye gbangba (o ni iṣeduro nikan lati ṣe bẹ ti o ba jẹ dandan pataki), o tun mẹnuba pe rirọpo awọn olokun alailowaya ti a firanṣẹ ni a ṣe iṣeduro.
Awọn iṣeduro wọnyi ti wọn ṣe bi awọn oniwadi ṣe darukọ pe ni kete ti wọn ba ni idaniloju pe awọn abulẹ ti de awọn olumulo ti o pari, wọn yoo tẹ iwe funfun kan lori ailagbara yii, pẹlu apejuwe ti lilo ati koodu ẹri-ti-imọran.
Ṣugbọn bi a ti mẹnuba, ọpọlọpọ awọn ẹrọ iyasọtọ ti ko ṣe igbasilẹ eyikeyi imudojuiwọn tabi ti o ti ni opin atilẹyin wọn tẹlẹ jẹ ipalara ti o lagbara.
Orisun: https://insinuator.net
Jẹ akọkọ lati sọ ọrọ