Bluetooth : quand une faille sous Android permettait une fuite de données !

Depuis le 3 Novembre 2019, une vulnérabilité permettait potentiellement à un individu malveillant d'exploiter une connexion en Bluetooth pour aspirer certaines données sensibles... depuis un smartphone sous Android !

 

 

C'est en tout cas ce qu'explique Jan Ruge dans un billet court mais explicite : "depuis Android 8.0 ou 9.0, un attaquant à proximité peut exécuter à distance silencieusement du code arbitraire avec les privilèges du Bluetooth daemon tant que le Bluetooth est actif. Aucune interaction-utilisateur n'est requise et seule l'adresse MAC Bluetooth des appareils cibles doit être connue. Pour certains appareils, l'adresse MAC Bluetooth peut être déduite de l'adresse MAC WiFi. Cette vulnérabilité peut entraîner le vol de données personnelles et pourrait potentiellement être utilisée pour propager des logiciels malveillants".

Si les versions 10 d'Android n'ont pas été impactés par cette faille, en revanche, les versions antérieures à Android 8 aurait pu très bien l'être : il est indiqué, sans plus de détails, que faute de s'être penché sur la question avec des tests concrets, cela n'a pas été prouvé...

Pour se prémunir de cette faille (assignée CVE-2020-0022), il suffit, tout simplement, de mettre à jour son système mobile qui intégrera automatiquement les mises à jour du patch Android de Février... A veiller !

 

Source : Insinuator.net - 6 Février 2020 - Faille Bluetooth sous Android : fuite de données.