Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una conexión Bluetooth en el archivo AdapterService.java en la función setPhonebookAccessPermission en Android (CVE-2020-0023)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/02/2020
Última modificación:
21/07/2021

Descripción

En la función setPhonebookAccessPermission del archivo AdapterService.java, se presenta una posible divulgación de contactos de usuario por medio del Bluetooth debido a una falta de comprobación de permiso. Esto podría conllevar a una divulgación local de información si una aplicación maliciosa habilita los contactos por medio de una conexión Bluetooth, con los privilegios de ejecución User necesarios. No es necesaria una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-145130871

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:google:android:10.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información