首页 > 软件游戏 > 正文

Android NFC漏洞可被黑客拿来传播植入恶意软件

ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。 CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。

据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。(截图 via ZDNet )

这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。

通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。

然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。

相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。

尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。

庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。

“未知来源”的定义,特指通过官方 Play 商店之外安装的任何东西,其默认都被视为不受信任和未经验证。

若用户需要侧载外部应用,必须前往设置菜单,然后手动启用“允许从未知来源安装应用”。

Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。

在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。

谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。

即便如此,该公司还是在 2019 年 10 月的 Android 安全补丁中,将 Android Beam 踢出了这款移动操作系统中的受信任来源列表

对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级 手机 的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。

【来源:cnBeta.COM】

网友评论

三日内热门评论文章
热门IT产品
  1. ¥7599
    苹果iPhoneX 64GB
    ·
  2. ¥5799
    三星S9
    ·
  3. ¥4498
    vivo NEX旗舰版
    ·
  4. ¥4999
    OPPO Find X
    ·
  5. ¥1799
    努比亚Z18mini
    ·
  6. ¥1499
    OPPO A5
    ·
  7. ¥1999
    荣耀Play(4GB RAM)
    ·
  8. ¥1598
    vivo Y85
    ·
  9. ¥3499
    坚果R1(6GB RAM)
    ·
  10. ¥3599
    一加6(8GB RAM)
    ·
为您推荐
  • 相关阅读
  • 业界资讯
  • 手机通讯
  • 电脑办公
  • 新奇数码
  • 软件游戏
  • 科学探索