SIKKERHET

Anbefaler Android-brukere å bruke Bluetooth så lite som mulig

Alvorlig sårbarhet berører de fleste versjoner.

For mange Android-brukere kan det være en god idé å finne fram de gamle hodetelefonene med ledning igjen.
For mange Android-brukere kan det være en god idé å finne fram de gamle hodetelefonene med ledning igjen. Foto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
10. feb. 2020 - 10:59

I november 2019 ble Google varslet om en kritisk sårbarhet i Bluetooth-systemet i Android. Sårbarheten berører i alle fall Android 8.0 og nyere, men i Android 10 kan den ikke utnyttes til annet enn å få Bluetooth-daemonen til å krasje.

I det skjulte

I Android 8.x og 9.0 kan sårbarheten derimot utnyttes av angripere til kjøring av vilkårlig kode, uten at brukeren må lokkes til å gjøre noe, og uten at brukeren oppdager at den vilkårlige koden kjøres.

Dette opplyser det tyske selskapet som oppdaget sårbarheten, ERNW, i et blogginnlegg. Selskapet har ikke testet eldre Android-versjoner enn 8.0, men avviser ikke at også disse man være berørt. 

En begrensende forutsetning for at sårbarheten skal kunne utnyttes, er at Bluetooth MAC-adressen er kjent. Men ifølge ERNW kan denne adressen utledes av wifi-MAC-adressen på en del enheter. 

Sikkerhetsoppdatering

Google kom i forrige uke med sikkerhetsoppdateringer som fjerner blant annet denne sårbarheten i Android. Hvor raskt disse blir gjort tilgjengelige for den enkelte enhet, avhenger av enhetens leverandør. Det er sjelden at enheter som er eldre enn tre år gamle (fra lanseringsdatoen), mottar slik oppdateringer. 

Inntil Android-enheten har blitt oppdatert til februarnivået på oppdateringene, anbefaler ERNW at brukerne bruker Bluetooth så lite som mulig, og at man i den grad det er mulig, sørger for at enheten ikke kan oppdages. De fleste nyere enheter er kun mulige å oppdage via Bluetooth mens Bluetooth-menyen til enheten er åpen. Enkelte eldre enheter kan derimot være synlige permanent. 

ERNW har så langt ikke offentliggjort noen detaljert beskrivelse av sårbarheten eller eksempelkode for hvordan den kan utnyttes. Dette vil derimot bli gjort på et senere tidspunkt, når de fleste har fått muligheten til å oppdatere enheten sin.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.