Android 安全漏洞讓駭客透過藍牙發送惡意軟體

資安公司 ERNW 安全研究人員日前發現名為 BlueFrag 的藍牙漏洞。在 Android 8 Oreo 或 Android 9 Pie 等系統上，只要啟用藍牙，附近的遠端攻擊者就可以透過藍牙 Daemon 程式權限，悄悄地執行任意程式碼。攻擊者只需知道目標裝置的藍牙 MAC 位址便能遠端發動攻擊，某些裝置的藍牙 MAC 位址可以經由 Wi-Fi MAC 位址推算得知，使用者根本不會發覺。

2020 年 2 月發布的安全更新修補程式中已經包含相關的修補程式，已經升級為 Android 10 的平板電腦或手機毋需擔心，尚未升級為最新系統的 Android 手機，最好儘速升級系統。然而，最大的問題在於許多舊版本的 Android 手機無法自動安裝最新安全修補程式。Google 只要求手機製造商提供至少兩年期的持續安全性更新保障，並且這個政策大概在 2019 年初才強制實施。而 Android 8 發佈已超過兩年，若手機的系統版本太舊，可能不會自動接收到 BlueFrag 修補程式。

而且，Android 手機供應商修補更新的速度可能很慢，可以長達 90 天，就算是符合自動接收修補程式情況的 Android 新手機，在未更新的這段期間仍暴露於風險中。其餘仍使用早於 Android 8 系統版本的手機，獲得 BlueFrag 修補程式的機率則更低，所承受的風險更大。