Gare au Bluetooth laissé activé en permanence sur les smartphones sous Android 8 ou 9. Une nouvelle vulnérabilité portant la référence CVE-2020-022 a été découverte par les chercheurs en sécurité d'ERNW.
Elle permet d'insérer du code à distance dans les appareils mobiles avec la possibilité d'installer des logiciels malveillants, de récupérer des données personnelles, de prendre le contrôle ou de faciliter la propagation de malwares de type ver.
Le danger de la faille est qu'elle est silencieuse et ne demande pas d'interaction de l'utilisateur. Elle nécessitera tout de même de connaître l'adresse MAC WiFi de l'appareil cible, à partir de laquelle peut être déduite dans certains cas l'adresse MAC Bluetooth.
Google a déjà corrigé cette faille dans son patch correctif de février 2020. Encore faut-il qu'il soit installé sur les appareils et que les mises à jour continuent d'être assurées, ce qui n'est pas forcément le cas sur les smartphones plus anciens.
On en revient donc aux problématiques de maintien de la sécurité des appareils mobiles Android dès qu'on s'écarte des modèles phare régulièrement mis à jour et que l'on touche aux modèles grand public au suivi plus aléatoire.
