Podatność CVE-2020-14292

Podatność CVE-2020-14292

Publikacja: 2020-09-09

Opis:

In the COVIDSafe application through 1.0.21 for Android, unsafe use of the Bluetooth transport option in the GATT connection allows attackers to trick the application into establishing a connection over Bluetooth BR/EDR transport, which reveals the public Bluetooth address of the victim's phone without authorisation, bypassing the Bluetooth address randomisation protection in the user's phone.

Typ:

CWE-863

(Incorrect Authorization)

CVSS2 => (AV:A/AC:M/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
2.9/10	2.9/10	5.5/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Sieć lokalna	Średnia	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Częściowy	Brak	Brak

Affected software
Health -> Covidsafe

Referencje:

https://covidsafe.watch/issue-register/

https://github.com/alwentiu/CVE-2020-14292

https://github.com/AU-COVIDSafe/mobile-android/blob/b827cf3ccef72a3d38c6fc37466a99868823540f/app/src/main/java/au/gov/health/covidsafe/streetpass/Work.kt#L35-L41

https://www.health.gov.au/resources/apps-and-tools/covidsafe-app

Podatność CVE-2020-14292

CWE-863

CVSS2 => (AV:A/AC:M/Au:N/C:P/I:N/A:N)

2.9/10

2.9/10

5.5/10

Sieć lokalna

Średnia

Nie wymagana

Częściowy

Brak

Brak

Affected software

Referencje: