关键漏洞信息 CVE编号 CVE-2024-58101 CVSS评分 CVSS v4.0 Score: 8.7 / High 漏洞描述 设备: Samsung Galaxy Buds 和 Galaxy Buds 2 问题: 这些设备默认启用蓝牙配对模式,无需用户输入或交互即可进行配对,并且没有停止此模式的方法。 影响 控制设备: 允许在未经用户同意或通知的情况下进行设备配对,从而完全控制设备。 音频播放和录音: 可能导致音频播放接管或未经用户同意的麦克风录音。 推荐措施 当前状态: 尚无已知修复措施。 时间线 2024/03/15: 初始报告通过Samsung Mobile Security平台提交。 2024/03/21: Samsung要求为每个发现单独创建工单,报告被标记为“按预期工作”。 2024/03/22: 创建了三个关于最突出问题的单独报告。 2024/03/29: Samsung建议关闭关于BSAM-PA-01的工单,标记为“按预期工作”,并提供了反对理由。 2024/06/27: 关于BSAM-PA-01的报告请求保持开放,因为对安全性有一定影响,请求CVE分配。 2024/06/27: 关于BSAM-PA-02的报告被标记为“无安全影响”并超出奖励计划范围。 2024/06/27: 关于BSAM-PA-05的报告同样被标记为“无安全影响”并超出奖励计划范围。 2024/06/27: BSAM-PA-01被标记为“低严重性”,但考虑到其潜在的安全影响,仍被认为比“低”更严重。 2024/06/24: CVE请求被拒绝,理由是只有中等或更高影响的漏洞才会被分配CVE。 2024/11/05: Samsung通知BSAM-PA-01的报告被授予奖金。 2025/01/27: 奖金支付完成。 2025/02/10: 请求CVE分配给MITRE。 2025/03/12: CVE-2024-58101被分配。 2025/03/20: 公开咨询发布。