ERNWは2020年2月6日(米国時間)、「Critical Bluetooth Vulnerability in Android (CVE-2020-0022) - BlueFrag - Insinuator.net」において、Android Bluetoothサブシステムに重大な脆弱性が存在すると伝えた。脆弱性の詳細はまだ伏せられているが、CVE-2020-0022と識別されており、広くアップデートが行き渡った後に情報が公開されると見られる。脆弱性の深刻度は緊急(Critital)に分類されており注意が必要。ただちにアップデートを適用することが望まれる。

  • Critical Bluetooth Vulnerability in Android (CVE-2020-0022) - BlueFrag - Insinuator.net

    Critical Bluetooth Vulnerability in Android (CVE-2020-0022) - BlueFrag - Insinuator.net

Bluetoothサブシステムに脆弱性が存在すると見られるプロダクトおよびバージョンは次のとおり。

  • Android 8.0系、8.1系、9系
  • Android 10系(ただし限定的)

Android 8.0系、8.1系、9.0系ではBluetoothが有効になっていると、近くにいる攻撃者からBluetoothデーモンの権限で任意のコードが実行される危険性がある。コード実行にあたって、ユーザーとの対話は不要で、任意コードの実行が引き起こされる条件は、対象デバイスのBluetooth MACアドレスがわかっていることとされている。Bluetooth MACアドレスはWifi MACアドレスから推測できるため注意が必要。

Android 8.0系よりも前のバージョンもこの脆弱性の存在を受ける可能性があるが、評価されていないことから対象として掲載されていないだけとされている。Android 8.0系よりも前のバージョンにも相応の注意が必要な可能性がある。

Android 10系は技術的な理由からこの脆弱性を悪用することができず、Bluetoothデーモンのクラッシュのみが引き起こされる危険性がある。Googleはすでに問題を修正した次のセキュリティアップデートの提供を開始している。Googleはセキュリティ情報の中で、Android 8.0系、8.1系、9系に影響を与えるこの脆弱性(CVE-2020-0022)の深刻度を緊急(Critical)と分類しており、迅速な対応が必要。

  • Android Security Bulletin—February 2020|Android Open Source Project

    Android Security Bulletin—February 2020|Android Open Source Project

ERNWは適用できるセキュリティパッチが提供されていない場合、どうしても必要な時以外はBluetoothを有効にしないこと、Bluetoothによるデバイスの発見ができないように設定することを推奨している(ただし、一部の古い携帯電話は設定をしても発見される可能性がある)。

Googleが提供しているスマートフォンを使っている場にはセキュリティアップデートを適用できるが、それ以外のベンダーのデバイスを使っている場合はセキュリティパッチの提供までかなり時間がかかるものもある。ほか、セキュリティパッチが提供されてない可能性もある。