โครงการแอนดรอยด์ออกแพตช์ความปลอดภัยรอบเดือนกุมภาพันธ์ โดยช่องโหว่ชุดที่ร้ายแรงที่สุดได้แก่ CVE-2020-2022 ที่เป็นช่องโหว่รันโค้ดระยะไกลที่คนร้ายยิงโค้ดเข้ามารันในเครื่องได้เมื่อเครื่องของเหยื่อเปิด Bluetooth โดยยืนยันว่ากระทบแอนดรอยด์ 8.0 ถึง 9.0 ส่วนเวอร์ชั่น 10 นั้นทำให้โมดูล Bluetooth แครชเท่านั้น ไม่ได้เปิดทางให้รันโค้ดแต่อย่างใด

ช่องโหว่นี้รายงานโดยบริษัท EMRW บริษัทด้านความมั่นคงปลอดภัยไซเบอร์จากเยอรมัน

หากยังไม่ได้รับแพตช์ ผู้ใช้มีทางลดความเสี่ยงคือปิด Bluetooth เมื่อไม่ได้ใช้งาน โดยช่องโหว่นี้จะเจาะได้เฉพาะช่วงเวลาที่ Bluetooth อยู่ในโหมด discoverable หรือช่วงเวลาสแกนเพื่อเชื่อมต่ออุปกรณ์ใหม่เท่านั้น อย่างไรก็ดีโทรศัพท์บางรุ่นเปิดโหมด discoverable ไว้ตลอดเวลา

สำหรับ Android 10 กูเกิลแพตช์ช่องโหว่คล้ายกันและระบุว่าเป็นช่องโหว่ระดับวิกฤติเหมือนกัน คือ CVE-2020-2023 แม้จะยังไม่มีรายละเอียดออกมาแต่แพตช์ระบุว่าแก้ไขการเข้าถึงรายชื่อติดต่อ (phone book) ในโมดูล Bluetooth จึงเป็นไปได้ว่าช่องโหว่นี้อาจเปิดทางอ่านข้อมูลติดต่อจากระยะไกล

ที่มา - The Register, Android, EMRW Insinuator