PT-2020-11808 · Google · Android
Publicado
2020-12-15
·
Atualizado
2020-12-16
·
CVE-2020-0473
CVSS v3.1
4.6
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android: Android-11
Descrição
O problema está relacionado a uma possível contornamento de permissões na função
updateIncomingFileConfirmNotification do arquivo BluetoothOppNotification.java. Isso poderia levar à escalada de privilégios local, permitindo que um invasor com posse física do dispositivo transfira arquivos para ele via Bluetooth sem precisar de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração.Recomendações
Para a versão Android-11, considere restringir os recursos de transferência de arquivos via Bluetooth até que uma correção esteja disponível. Como solução temporária, desativar o recurso de transferência de arquivos via Bluetooth pode ajudar a minimizar o risco de exploração.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android