PT-2020-13959 · Australian Government · Covidsafe
Publicado
2020-09-09
·
Atualizado
2021-07-21
·
CVE-2020-14292
CVSS v3.1
5.7
Média
| Vetor | AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo COVIDSafe até a versão 1.0.21 para Android
Descrição
A vulnerabilidade permite que invasores induzam o aplicativo a estabelecer uma conexão via transporte Bluetooth BR/EDR, revelando o endereço público Bluetooth do telefone da vítima sem autorização, contornando a proteção de randomização de endereços Bluetooth no telefone do usuário. Isso se deve ao uso inseguro da opção de transporte Bluetooth na conexão GATT.
Recomendações
Para as versões do aplicativo COVIDSafe até a 1.0.21 para Android, considere desativar a funcionalidade Bluetooth até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à conexão GATT para minimizar o risco de revelar o endereço Bluetooth público.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Covidsafe