Bug Android Bluetooth sfruttabile senza interazione da parte dell’utente

Gli utenti Android sono invitati ad applicare le ultime patch di sicurezza rilasciate per il sistema operativo lunedì che risolvono una vulnerabilità critica nel sottosistema Bluetooth.

Un utente malintenzionato potrebbe sfruttare il difetto di sicurezza, ora identificato come CVE-2020-0022 senza la partecipazione dell’utente per eseguire codice arbitrario sul dispositivo con i privilegi elevati del demone Bluetooth quando il modulo wireless è attivo.

Scoperto e segnalato da Jan Ruge presso la Technische Universität Darmstadt, Secure Mobile Networking Lab, il bug è considerato critico su Android Oreo (8.0 e 8.1) e Pie (9) poichè lo sfruttamento porta all’esecuzione del codice. Il bollettino sulla sicurezza di Android  rileva che CVE-2020-0022 “potrebbe consentire a un utente malintenzionato remoto che utilizza una trasmissione appositamente predisposta di eseguire codice arbitrario nel contesto di un processo privilegiato”.