圖片來源: 

pexels

Google本周釋出Android安全公告,修補13項漏洞,包括一個影響Android 8、8.1及9,可在用戶未動作下,即被遠端執行程式的重大藍牙漏洞。

本月修補的漏洞中,最嚴重的是編號CVE-2020-0022的漏洞。它是由德國安全廠商Insinuator去年11月發現,影響Android藍牙子系統。在Android 8.0、9.0版本上,如果用戶手機開啟藍牙,則位於用戶附近的攻擊者可使用藍牙daemon程式權限,暗中執行任意程式碼,藉此可以竊取個人資訊甚至助長蠕蟲程式散布。

安全研究人員指出,在Android 8/9版本上,攻擊者只需知道目標手機的藍牙MAC address,過程中無需使用者動作。WiFi MAC address就可以推算出藍牙MAC address。

但該漏洞在Android 10裝置上無法被開採,只會造成藍牙daemon當掉。至於Android 8.0以前的裝置,研究人員尚未做過測試,但表示應該也會受影響。Google將Android 8、8.1與9的該漏洞風險列為重大。在Android 10上則為中度。

研究人員呼籲用戶若無法安裝更新,則應關閉手機藍牙連線,必要時才打開,不然就要設定手機無法被搜尋到。

本次安全公告還修補一個影響Android 10,可能導致身份個資遭竊的重大風險漏洞CVE-2020-0023。以及影響Android 8-9或Android 10,可造成權限升級及身份竊取的高度風險漏洞。


Advertisement

更多 iThome相關內容