Android 安全漏洞讓駭客透過藍牙發送惡意軟體

man-in-the-disk

資安公司 ERNW 安全研究人員日前發現名為 BlueFrag 的藍牙漏洞。在 Android 8 Oreo 或 Android 9 Pie 等系統上,只要啟用藍牙,附近的遠端攻擊者就可以透過藍牙 Daemon 程式權限,悄悄地執行任意程式碼。攻擊者只需知道目標裝置的藍牙 MAC 位址便能遠端發動攻擊,某些裝置的藍牙 MAC 位址可以經由 Wi-Fi MAC 位址推算得知,使用者根本不會發覺。

2020 年 2 月發布的安全更新修補程式中已經包含相關的修補程式,已經升級為 Android 10 的平板電腦或手機毋需擔心,尚未升級為最新系統的 Android 手機,最好儘速升級系統。然而,最大的問題在於許多舊版本的 Android 手機無法自動安裝最新安全修補程式。Google 只要求手機製造商提供至少兩年期的持續安全性更新保障,並且這個政策大概在 2019 年初才強制實施。而 Android 8 發佈已超過兩年,若手機的系統版本太舊,可能不會自動接收到 BlueFrag 修補程式。

而且,Android 手機供應商修補更新的速度可能很慢,可以長達 90 天,就算是符合自動接收修補程式情況的 Android 新手機,在未更新的這段期間仍暴露於風險中。其餘仍使用早於 Android 8 系統版本的手機,獲得 BlueFrag 修補程式的機率則更低,所承受的風險更大。