Podatność CVE-2020-15509
Publikacja: 2020-07-07

Opis:
Nordic Semiconductor Android BLE Library through 2.2.1 and DFU Library through 1.10.4 for Android (as used by nRF Connect and other applications) can engage in unencrypted communication while showing the user that the communication is purportedly encrypted. The problem is in bond creation (e.g., internalCreateBond in BleManagerHandler).

Typ:

CWE-311

 (Missing Encryption of Sensitive Data)

CVSS2 => (AV:A/AC:L/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
3.3/10
2.9/10
6.5/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Sieć lokalna
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Nordicsemi -> Android ble library 
Nordicsemi -> Dfu library 

 Referencje:
https://github.com/NordicSemiconductor/Android-BLE-Library/commits/master
https://github.com/NordicSemiconductor/Android-DFU-Library/commits/release
https://secretdiary.ninja/index.php/2020/07/03/norec-attack-stripping-ble-encryption-from-nordicsemis-android-library-cve-2020-15509/
Copyright 2024, cxsecurity.com

 

Back to Top