Android漏洞曝光 導致黑客能利用設備的NFC功能

投稿人/來源:cnBeta.COM | 2019-11-06 15:03:46 |

ZDNet 報道稱,近期曝光的一個 Android 漏洞,導致黑客能夠利用設備上的近場接觸(NFC)功能,向受害者傳播植入惡意軟件。CVE-2019-2114 漏洞報告指出,問題源自一項鮮為人知的 Android OS 功能,它就是 NFC Beaming 。所有運行 Android 8 Oreo 及以上版本的設備,都會受到影響。

android-beam.jpg

據悉,NFC 廣播通過設備內部的 Android OS 服務(Android Beam)來工作。(截圖 viaZDNet)

這項服務允許 Android 設備使用近場通訊(NFC)技術來替代 Wi-Fi 或藍牙,將圖像、文件、視頻、甚至應用程序,發送到另一臺設備上。

通常情況下,通過 NFC 傳輸的 APK 安裝包會存儲在設備上,并在屏幕上顯示相關通知,詢問用戶是否允許安裝未知來源的應用程序。

然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人員發現:在 Android 8(Oreo)或更高版本的系統上通過 NFC 廣播來發送應用程序,并不會顯示這一提示。

相反,該通知允許用戶一鍵安裝應用程序,而不發出任何安全警告。

盡管缺少一個提示,聽起來似乎并不那么重要,但它還是成為了 Android 安全模型中的一個重大問題。

慶幸的是,谷歌已在 2019 年 10 月修復了這個影響 Android 設備的 NFC Beaming 漏洞。

android-install-sources.png

“未知來源”的定義,特指通過官方 Play 商店之外安裝的任何東西,其默認都被視為不受信任和未經驗證。

若用戶需要側載外部應用,必須前往設置菜單,然后手動啟用“允許從未知來源安裝應用”。

Android 8 Oreo 之前,這項設置并沒有什么問題。然而從 Android 8 Oreo 開始,谷歌將這種機制重新設計為基于 App 的設置。

在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名單,獲得了與官方 Play 應用商店相同的信任權限。

谷歌表示,Android Beam 服務從來就不是安裝應用程序的一種方式,而僅僅是一種在設備之間傳輸數據的方式。

即便如此,該公司還是在 2019 年 10 月的 Android 安全補丁中,將 Android Beam 踢出了這款移動操作系統中的受信任來源列表。

LG android-beam.jpg

(圖自:LG)

對于數百萬仍處于危險之中的 Android 用戶,我們在此建議大家盡快升級手機的安全補丁、或者盡量在不使用時關閉 NFC 和 Android Beam 功能。


网络游戏赛车