注意！国内吹捧手环-研究人员透露安卓系统蓝牙安全漏洞 无需用户交互即可远程发动攻击

谷歌目前已经为安卓系统推出本月份的例行安全更新，当然如你所知多数设备无法及时安装这些关键的安全更新。

在谷歌发布更新后研究人员开始透露安卓系统蓝牙模块的关键缺陷，借助该缺陷攻击者可以无交互执行任意代码。

严格来说在无用户交互的情况下远程执行任意代码具有极高危害性，其他远程执行任意代码多数可以网络直接发起。

CVE-2020-0022号安全漏洞：

此次安全漏洞由德国法兰克福达姆施塔特理工大学的移动网络安全实验室的研究人员发现的并且及时提交给谷歌。

该漏洞对于 Android 8.0、8.1 以及9系列具有关键性影响 , 攻击者们可以利用漏洞向受影响的设备传输蠕虫病毒。

同时想要利用该漏洞的话还需要获得蓝牙 MAC 地址，但是攻击者也可以借助WiFi MAC地址推导蓝牙MAC地址。

尽管这枚漏洞并不需要用户执行任何操作，也就是可以在用户完全不知觉的情况下发动攻击。

执行任意代码危害系统安全：

例如商业间谍黑客或者其他间谍机构则可以利用漏洞攻击特定用户，即在物理环境中跟随目标用户再利用这没漏洞。

因此从危害性方面来说这也并不算小。

更多漏洞细节暂时无法透露：

早些时候亚马逊创始人贝索斯的手机被中东国家的间谍机构植入恶意软件，通过恶意软件窃取贝索斯的机密信息。

而此次安卓系统的蓝牙模块缺陷如果被间谍机构利用的话，则很有可能会对潜在的目标用户造成非常严重的威胁。

也正是如此研究人员至今未公布此次漏洞的详细信息，尽管谷歌已经发布修复程序但多数手机暂时无法进行修复。

按安卓系统更新情况来看如果研究人员想要等到多数设备都修复漏洞，那可能还需要等很久很久才可以公布细节。

最后研究人员也提醒用户除非必要不然不要开启蓝牙功能，如果要开启的话也必须设置为不可搜索防止被追踪到。

===================================================

特别提示：要注意国内用的比较多的电子手环和手表的用户，注意！