Android 再次成为安全漏洞的受害者。这个新漏洞依赖于蓝牙配置文件。如果利用得当,黑客可以通过蓝牙伪装成已注册的设备来连接到智能手机。然后,黑客可以访问目标的目录和消息。
后BlackRock 恶意软件能够通过数百个应用程序窃取资金和密码,DBAPPSecurity 的计算机安全研究人员发现了 Android 中的一个严重的零日漏洞。该漏洞利用 Android 智能手机和平板电脑的蓝牙连接来访问 PBAP,电话簿访问配置文件,以及管理的 MAP访问短信。
一样2020 年 5 月发现的 BIAS 漏洞,这个名为“BlueRepli”的缺陷让黑客触手可及通过蓝牙定位任何 Android 设备。它从蓝牙配置文件中汲取力量。通常,蓝牙配对之前总是先以配对代码或“是”或“否”问题的形式进行授权。然而,第三种可能性称为“只是有效”也存在。
隐藏的艺术
具体来说,Just Works 是大多数具有 BLE 网络的 Android 设备的默认配对方法。一旦两个设备被“引入”并首次配对,Just Works 连接模式就允许它们未经许可再次将它们连接在一起。该漏洞正是基于该系统。
感谢“BlueRepli”,黑客可以冒充支持蓝牙的设备 其个人资料已保存在目标智能手机上。事实上,黑客可以在用户不知情的情况下未经授权连接到目标智能手机。我们称之为 Bluesnarfing。请注意,黑客必须在蓝牙范围内,也就是说不超过几米。
另请阅读:Android – 蓝牙是一个巨大安全漏洞的受害者,请更新您的智能手机!
蓝牙,主要目标
尽管存在这种限制,但找到目标还是很容易的,尤其是在火车站或机场,特别是自从无线耳机和联网手表出现以来,用户经常保持蓝牙处于激活状态。正如发现“BlueRepli”的两位计算机安全研究人员 Xu Sourcell 和 Xin Xin 所解释的那样,这个缺陷可能会造成毁灭性的损害。
事实上,它涉及一个通用协议,在本例中是蓝牙,这意味着任何 Android 智能手机或平板电脑都是潜在受害者。目前,谷歌已经确认他还没有纠正他的操作系统中的这个缺陷。换句话说,蓝牙仍然是黑客的门户。研究人员建议用户保持警惕并关注即将推出的 Android 安全更新。
另请阅读:Android – 一个漏洞可以让你监视你的蓝牙耳机
来源:Android新秀
询问我们最新的!
来自 CarWoW YouTube 频道的 Mat Watson 刚刚进行了一项相当独特的测试。这个想法?驾驶六辆电动 SUV 达到极限,看看哪一辆能跑得最远。所有人都在同一天、同一条路线上……
电动车
