据ZDNet报道,谷歌上个月修补了一个安卓漏洞,黑客可以通过一个鲜为人知的android操作系统功能NFC Beaming将恶意软件植入到附近的手机上。
据悉,NFC Beaming通过设备内部的 Android OS 服务(Android Beam)来工作。这项服务允许 Android 设备使用NFC技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。
通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。
缺少一个提示听起来似乎并不重要,但这却是 Android 安全模型中的一个主要问题。安卓设备安装“未知来源”APP时,都默认都被视为不受信任和未经验证。若用户需要安装Play Store以外应用,必须在设置菜单中手动启用“允许从未知来源安装应用”。
Android 8 Oreo 之前,这个“从未知来源安装”选项是一个系统设置,对所有应用的要求都是一样的。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。
在目前的Android版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定应用安装其他应用。
在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play Store相同的信任权限。谷歌表示,这并不是有意为之,因为Android Beam 服务从来就不是安装应用程序的方式,而仅仅是一种在设备之间传输数据的方式。
值得注意的是,谷歌已在 2019 年 10 月的补丁上将Android Beam从可信来源的操作系统白名单中删除。
然而,仍有数百万用户面临风险。如果用户启用了NFC服务和 Android Beam服务,附近的攻击者可能会在他们的手机上植入恶意软件。由于没有来自未知来源的安装提示,点击通知会启动恶意应用程序的安装。此外,许多用户可能会误解这条消息来自Play Store,并安装该应用程序,误以为这只是一个更新。
为了安全起见,建议用户在不需要使用时记得关闭 NFC 和 Android Beam 功能。