In een lek wat in november 2019 is ontdekt was Android kwetsbaar via het Bluetooth subsysteem. Deze kwetsbaarheid, die werd aangeduid als CVE-2020-0022 en is gepatched in de veiligheidspatch van februari 2020. 

Het ging om de kwetsbaarheid die aanwezig was in Android 8.0 en 9.0. Via een afstand kon een kwaadwillende heimelijk een code laten uitvoeren binnen de perken van de Bluetooth daemon, zolang Bluetooth was geactiveerd op het apparaat. Er was geen interactie van de gebruiker nodig en het enige wat de aanvaller nodig had, was het Bluetooth MAC adres van het apparaat. Voor sommige apparaten kan dit achterhaald worden via het WiFi MAC adres. Deze bug maakte het mogelijk om persoonlijke data buit te maken en zou gebruikt kunnen worden om malware te verspreiden, zoals een short-distance worm.

Op Android 10 is deze kwetsbaarheid om technische redenen niet aanwezig en resulteert het in een crash van de Bluetooth daemon. Vervelend, maar een stuk minder gevaarlijk.

Gebruikers worden aangeraden deze laatste beveiligingsupdate te installeren. Wanneer je apparaat nog geen update beschikbaar heeft of het niet meer ondersteund wordt, zijn er verschillende mogelijkheden om de impact van deze kwetsbaarheid te verminderen.

Zo kun je Bluetooth alleen inschakelen wanneer strikt noodzakelijk. Dit kan ook bij de meeste bluetooth koptelefoons. Deze ondersteunen ook vaak audio via een kabel.

Ook kun je je apparaat instellen dat deze niet zomaar te ontdekken is via Bluetooth. Bij de meeste huidige apparaten is dit al het geval en wordt Bluetooth alleen ingeschakeld wanneer de gebruiker in het Bluetooth menu zit. Bij bijvoorbeeld oudere telefoons kan het zijn dat dit permanent aan staat.