Исследователи из немецкой компании ERNW, работающей в сфере информационной безопасности, обнаружили уязвимость в Bluetooth на Android-устройствах. Эксплуатация уязвимости позволяет злоумышленнику, находящемуся в радиусе действия Bluetooth, получать доступ к хранящимся на пользовательском устройстве данным, а также делает возможным загрузку вредоносного ПО, причём без каких-либо действий со стороны жертвы.
Упомянутая уязвимость была идентифицирована как CVE-2020-0022. Она затрагивает устройства с Android 9 (Pie), Android 8 (Oreo). Возможно, проблема актуальна и для более ранних версий программной платформы, но исследователи не проверяли эту информацию. Что касается Android 10, то попытка эксплуатации данной уязвимости на устройстве с этой ОС приводит к зависанию Bluetooth.
В отчёте отмечается, что для эксплуатации уязвимости злоумышленнику не нужно вынуждать жертву сделать какое-либо действие, достаточно знать MAC-адрес.
Уязвимость была обнаружена 3 ноября 2019 года, после чего исследователи уведомили о ней разработчиков из Google. В конечном счёте, проблема была решена в февральском обновлении безопасности для платформы Android. Пользователям рекомендуется установить этот пакет обновлений, чтобы избежать возможных проблем с кражей данных по Bluetooth.
Специалисты рекомендуют пользователям использовать Bluetooth в общественных местах только в случае необходимости. Кроме того, не стоит делать устройство видимым для других пользователей, а также не следует осуществлять поиск доступных по Bluetooth гаджетов. Во всяком случае, эти меры предосторожности останутся актуальными до тех пор, пока пользователи не установят на свои устройства февральское обновление.