PT-2020-11480 · Google · Android
Publicado
2020-06-10
·
Atualizado
2020-06-15
·
CVE-2020-0119
CVSS v2.0
5.4
Média
| Vetor | AV:N/AC:H/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android: Android-10
Descrição
O problema está relacionado a um possível ataque de intermediário (man-in-the-middle) devido à validação inadequada de certificados na função
addOrUpdateNetworkInternal e em funções relacionadas do arquivo WifiConfigManager.java. Isso pode levar à divulgação remota de informações sem a necessidade de privilégios de execução adicionais. É necessária a interação do usuário para a exploração.Recomendações
Para a versão Android-10, considere desativar a função
addOrUpdateNetworkInternal em WifiConfigManager.java como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a redes Wi-Fi para minimizar o risco de exploração. Evite usar redes Wi-Fi não confiáveis até que o problema seja resolvido.Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android