Vulnerabilidad en Bluetooth en las aplicaciones TraceTogether, ABTraceTogether y otras en iOS y Android en OpenTrace en COVIDSafe (CVE-2020-12856)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/05/2020
Última modificación:
20/05/2020
Descripción
OpenTrace, tal como es usado en COVIDSafe versiones hasta v1.0.17, TraceTogether, ABTraceTogether y otras aplicaciones en iOS y Android, permite a atacantes remotos conducir ataques de reidentificación a largo plazo y posiblemente tener otro impacto no especificado, debido en la manera en como Bluetooth es usado.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:alberta:abtracetogether:-:*:*:*:*:android:*:* | ||
| cpe:2.3:a:alberta:abtracetogether:-:*:*:*:*:iphone_os:*:* | ||
| cpe:2.3:a:health:covidsafe:*:*:*:*:*:android:*:* | 1.0.17 (incluyendo) | |
| cpe:2.3:a:health:covidsafe:-:*:*:*:*:iphone_os:*:* | ||
| cpe:2.3:a:tracetogether:tracetogether:-:*:*:*:*:android:*:* | ||
| cpe:2.3:a:tracetogether:tracetogether:-:*:*:*:*:iphone_os:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://covidsafe.watch/issue-register/cve-2020-12856-long-term-tracking-and-possibly-enables-other-bluetooth-based-attack-vectors
- https://docs.google.com/document/d/1u5a5ersKBH6eG362atALrzuXo3zuZ70qrGomWVEC27U/edit?usp=sharing
- https://github.com/alwentiu/COVIDSafe-CVE-2020-12856/blob/master/README.md