PT-2020-13655 · Google/Apple · Apple/Google Exposure Notification Api
Publicado
2020-06-11
·
Atualizado
2021-03-12
·
CVE-2020-13702
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
API de Notificação de Exposição da Apple/Google (versão beta) até 29/05/2020
Descrição
A vulnerabilidade permite que invasores contornem a privacidade do Bluetooth Smart devido a um UID temporário secundário no Identificador de Proximidade Contínuo. Isso permite que um invasor com acesso a redes de beacons ou IoT rastreie o movimento de dispositivos individuais por meio de um mecanismo de descoberta do Bluetooth LE.
Recomendações
Para a API de Notificação de Exposição da Apple/Google (versão beta) até 29/05/2020, considere desativar o Identificador de Proximidade Contínuo até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a redes Beacon ou IoT para minimizar o risco de rastreamento do movimento de dispositivos individuais.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apple/Google Exposure Notification Api