Google修補Android重大藍牙安全漏洞

Google本周釋出Android安全公告，修補13項漏洞，包括一個影響Android 8、8.1及9，可在用戶未動作下，即被遠端執行程式的重大藍牙漏洞。

本月修補的漏洞中，最嚴重的是編號CVE-2020-0022的漏洞。它是由德國安全廠商Insinuator去年11月發現，影響Android藍牙子系統。在Android 8.0、9.0版本上，如果用戶手機開啟藍牙，則位於用戶附近的攻擊者可使用藍牙daemon程式權限，暗中執行任意程式碼，藉此可以竊取個人資訊甚至助長蠕蟲程式散布。

安全研究人員指出，在Android 8/9版本上，攻擊者只需知道目標手機的藍牙MAC address，過程中無需使用者動作。WiFi MAC address就可以推算出藍牙MAC address。

但該漏洞在Android 10裝置上無法被開採，只會造成藍牙daemon當掉。至於Android 8.0以前的裝置，研究人員尚未做過測試，但表示應該也會受影響。Google將Android 8、8.1與9的該漏洞風險列為重大。在Android 10上則為中度。

研究人員呼籲用戶若無法安裝更新，則應關閉手機藍牙連線，必要時才打開，不然就要設定手機無法被搜尋到。

本次安全公告還修補一個影響Android 10，可能導致身份個資遭竊的重大風險漏洞CVE-2020-0023。以及影響Android 8-9或Android 10，可造成權限升級及身份竊取的高度風險漏洞。