PT-2020-14468 · Nordic Semiconductor · Nordic Semiconductor Android Ble Library
Publicado
2020-07-07
·
Atualizado
2021-07-21
·
CVE-2020-15509
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Biblioteca BLE para Android da Nordic Semiconductor, versões 2.2.1 e anteriores
Biblioteca DFU para Android da Nordic Semiconductor, versões 1.10.4 e anteriores
Descrição
A falha permite que a biblioteca realize comunicação não criptografada enquanto indica ao usuário que a comunicação é criptografada. Esse problema ocorre durante a criação do vínculo, especificamente na função
internalCreateBond dentro de BleManagerHandler.Recomendações
Para as versões 2.2.1 e anteriores da Biblioteca BLE para Android da Nordic Semiconductor, considere desativar a função
internalCreateBond no BleManagerHandler até que um patch esteja disponível.Para as versões 1.10.4 e anteriores da Biblioteca DFU para Android da Nordic Semiconductor, restrinja o uso da funcionalidade de criação de ligação para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nordic Semiconductor Android Ble Library