Een Duitse beveiligingsonderzoeker heeft een kritiek lek in Android 8.0 en 9.0 aangetroffen waarmee het mogelijk is om willekeurige code op smartphones, binnen de context van een bluetooth-daemon, uit te voeren.

Om een aanval via het lek te laten slagen, is slechts vereist dat een gebruiker bluetooth geactiveerd heeft en dat het bluetooth-mac-adres bekend is. Bij sommige smartphones is dat mac-adres af te leiden uit het mac-adres voor wifi. De aanvaller kan op afstand willekeurig code uitvoeren met de rechten van de bluetooth-daemon, zonder dat verder interactie van de gebruiker vereist is.

Volgens de man die de kwetsbaarheid ontdekt heeft, Jan Ruge van het Secure Mobile Networking Lab van de Technische Universität Darmstadt, is het lek te misbruiken om persoonlijke gegevens weg te sluizen en malware zoals wormen te verspreiden, al kan dit dus alleen op relatief korte afstand van een kwetsbaar toestel.

Voor Android Oreo 8.0 en 8.1 en Pie 9.0 is de kwetsbaarheid als kritiek bestempeld vanwege de mogelijkheid code uit te voeren. Wat Android 10 betreft is dat niet het geval, maar de bleutooth-daemon van dit OS is wel te crashen met de bug. Het lek heeft aanduiding CVE-2020-0022 gekregen en heeft al een patch ontvangen volgens Googles Android Security Bulletin van februari.

Ruge publiceert op een blog van beveiligingsbedrijf ERNW vooralsnog zonder veel details of een proof-of-concept prijs te geven. Hij wil daarmee wachten tot een groot deel van de gebruikers zijn smartphone heeft bijgewerkt of een workaround heeft toegepast. Gebruikers die nog geen beveiligingsupdate voor Android ontvangen, krijgen het advies bluetooth alleen bij strikte noodzaak in te schakelen en apparaten niet vindbaar via bluetooth te maken.