Raymon725cnBeta
ZDNet 報道稱,近期曝光的一個 Android 漏洞,導致黑客能夠利用設備上的近場接觸(NFC)功能,向受害者傳播植入惡意軟件。
CVE-2019-2114 漏洞報告指出,問題源自一項鮮為人知的 Android OS 功能,它就是 NFC Beaming 。所有運行 Android 8 Oreo 及以上版本的設備,都會受到影響。
據悉,NFC 廣播通過設備內部的 Android OS 服務(Android Beam)來工作。(截圖 via ZDNet)
這項服務允許 Android 設備使用近場通訊(NFC)技術來替代 Wi-Fi 或藍牙,將圖像、文件、視頻、甚至應用程序,發送到另一臺設備上。
通常情況下,通過 NFC 傳輸的 APK 安裝包會存儲在設備上,並在屏幕上顯示相關通知,詢問用戶是否允許安裝未知來源的應用程序。
然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人員發現:在 Android 8(Oreo)或更高版本的系統上通過 NFC 廣播來發送應用程序,並不會顯示這一提示。
相反,該通知允許用戶一鍵安裝應用程序,而不發出任何安全警告。
儘管缺少一個提示,聽起來似乎並不那麼重要,但它還是成為了 Android 安全模型中的一個重大問題。
慶幸的是,谷歌已在 2019 年 10 月修復了這個影響 Android 設備的 NFC Beaming 漏洞。
“未知來源”的定義,特指通過官方 Play 商店之外安裝的任何東西,其默認都被視為不受信任和未經驗證。
若用戶需要側載外部應用,必須前往設置菜單,然後手動啟用“允許從未知來源安裝應用”。
Android 8 Oreo 之前,這項設置並沒有什麼問題。然而從 Android 8 Oreo 開始,谷歌將這種機制重新設計為基於 App 的設置。
在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名單,獲得了與官方 Play 應用商店相同的信任權限。
谷歌表示,Android Beam 服務從來就不是安裝應用程序的一種方式,而僅僅是一種在設備之間傳輸數據的方式。
即便如此,該公司還是在 2019 年 10 月的 Android 安全補丁中,將 Android Beam 踢出了這款移動操作系統中的受信任來源列表。
(圖自:LG)
對於數百萬仍處於危險之中的 Android 用戶,我們在此建議大家儘快升級手機的安全補丁、或者儘量在不使用時關閉 NFC 和 Android Beam 功能。
