Android 8(Oreo)旨在为用户提供更加流畅的体验。
然而每一项新的科技服务带来便利的同时也少不了安全风险。
近期外媒报道Android 8(Oreo)及更高版本的手机都会受到NFC漏洞的影响。
攻击者可通过Android Beam在设备上传播恶意软件。
2011年,谷歌在Android 4.0系统引入Android Beam功能,能够最大程度地利用NFC进行分享。NFC Beam允许Android设备使用无线电波将图像、文件、视频或者应用程序之类的数据发送到附近的另一台设备,以替代WiFi或蓝牙。近期发现此项功能中存在一个漏洞,漏洞名为CVE-2019-2114,黑客可以利用此漏洞将恶意软件传播到附近的手机。一般情况下,通过NFC传输的应用程序(APK文件)会存储在磁盘上,并在屏幕上显示通知。此外该通知会询问手机持有人是否同意NFC服务从未知来源安装应用程序。
但是研究人员发现在Android 8(Oreo)及更高版本的手机上并没有此项通知服务。也就是说,在这种情况下,NFC会默认允许设备一键安装应用程序,而不会发出任何安全警告。由于没有提示从未知来源进行安装,恶意软件会直接开始安装,很多用户会误以为是来自官方商店的消息,然而在安装之后则会面临新的危险。
幸运的是,仅当两个设备相互靠近且距离小于4厘米的情况下,才会启动NFC连接,这意味着攻击者需要与受害者的手机非常接近,因此攻击需要一定的条件限制。为了安全起见,用户可以禁用NFC功能和Android Beam服务,如果用户需要使用到NFC功能,则可以单独关闭Android Beam服务,这个操作可以阻止NFC文件传输操作,但不会禁用其他NFC功能。谷歌在此前的更新中修复了这个漏洞,但依然有百万的用户处于危险之中,因此需要尽快更新系统或者禁用Android Beam服务。https://wwws.nightwatchcybersecurity.com/2019/10/24/nfc-beaming-bypasses-security-controls-in-android-cve-2019-2114/* 本文由看雪编辑 LYA 编译自 ZDNet,转载请注明来源及作者。
* 原文链接:
https://www.zdnet.com/article/android-bug-lets-hackers-plant-malware-via-nfc-beaming/
﹀
﹀﹀
公众号ID:ikanxue
官方微博:看雪安全商务合作:wsc@kanxue.com
戳“阅读原文”一起来充电吧!