黑客攻克旧版安卓的蓝牙系统

安全研究中心ERNW发布报告称，他们发现了一个名为BlueFrag的漏洞，该漏洞能够允许黑客地把恶意程序通过蓝牙传送到附近的Android 8 Oreo和Android 9 Pie设备中。

在Android 8.0到9.0上，只要启用了蓝牙，附近的远程攻击者就可以使用蓝牙守护程序的特权以静默方式执行任意代码。无需用户交互，仅需知道目标设备的蓝牙MAC地址即可。对于某些设备，可以从WiFi MAC地址推断出蓝牙MAC地址。此漏洞可能导致个人数据被盗，并且有可能被用来传播恶意软件(短距离蠕虫)。

报告中主要针对较新版本Android而研究，并确认了Android 10不受影响。该漏洞会在2020年二月的安全性更新中修复，但其他较旧和已经失去两年升级承诺期的手机就没有办法了。

不过，考虑到这攻击还是需要蓝牙侦测范围之内才能进行，所以受影响的用户可以暂时限制蓝牙可见度，当然最好还是尽快更新到Android 10。

关键词：