Kritisk Android Bluetooth-fejl kan udnyttes uden brugerinteraktion

7. februar 2020 kl. 10:082
Kritisk Android Bluetooth-fejl kan udnyttes uden brugerinteraktion
Illustration: MI grafik.
Slå Bluetooth fra, hvis der ikke kommer en opdatering mandag, advarer tysk forsker.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Android-brugere opfordres til at anvende de seneste sikkerhedsrettelser, der formodentlig bliver frigivet til styresystemet på mandag, og som adresserer en kritisk sårbarhed i Bluetooth-undersystemet.

Det skriver mediet Bleepingcomputer.

En angriber kan udnytte en sikkerhedsfejl, der har fået nummeret CVE-2020-0022, uden involvering af brugeren, til at køre vilkårlig kode på enheden med Bluetooth-processens forhøjede privilegier, når trådløs kommunikation er slået til.

For at sårbarheden kan udnyttes skal Bluetooth MAC-adressen kendes, men det er nemt at få fat på.

Artiklen fortsætter efter annoncen

»På nogle enheder kan Bluetooth MAC-adressen udtrækkes fra WiFi MAC-adressen,« siger forskeren Jan Ruge fra Technische Universität Darmstadt i Tyskland.

På Android 10 er truslen dog kun 'moderat,' da sårbarheden kun kan bruges til at crashe Bluetooth-processen.

Hvis en fejlrettelse ikke er tilgængelig mandag, anbefaler Jan Ruge kun at aktivere Bluetooth, hvis det er strengt nødvendigt.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
4. marts 2020 kl. 08:45

Der er en aftale mellem google og producenter om at de skal udsende opdateringer i 2 år. Det svarer til at man kan gå fra Android P til android Q og få de opdateringer der kommer i dens levetid. Det er normalt svært at får 3 generationer af Android til at køre på samme gamle hardware (2år er gammelt i denne verden) og du kan så overveje om du helst vil have de bruger en masse tid på at få lavet en middelmådig løsning til gamle telefoner eller om de hellere skal se på innovation og fremtidssikring af systemet.

1
7. februar 2020 kl. 13:37

Endnu en gang opfordres man til at opdatere sit Android-system.

Android-brugere opfordres til at anvende de seneste sikkerhedsrettelser, der formodentlig bliver frigivet til styresystemet på mandag, og som adresserer en kritisk sårbarhed i Bluetooth-undersystemet.

Men man er jo helt i producenternes vold, da de sjældent kommer med opdateringer efter ca. 2 til 2½ år. [1] De fleste brugere har kun valget mellem at lade stå til eller skaffe nyt. EU burde snarere end at kræve fælles ladestik sikre en længere garanteret periode for opdateringer med sikkerhedsrettelser.

[1] Fik i 2 år opdateringer (22 - fra nougat til pie) til min smartphone og troede, den sidste var den jeg fik i juni 2019, men sidst i januar kom endelig den opdatering, næsten alle andre customiseringer af samme smartphone havde fået 5 måneder tidligere. Men det er nok så den sidste. :-(