首页 移动设备 智能手机

无NFC的手机不买? 安卓曝NFC漏洞可植入恶意代码

每当人们出入小区门禁或乘坐公交地铁时,使用带有NFC(近场通信,Near Field Communication)功能的手机即可快速刷卡通过,为大家的生活出行带来了极大便利。可是近日安全研究人员却发现,Android 8(Oreo)版本以后的操作系统却存在着一个高风险NFC漏洞,能让附近的恶意攻击者在Android手机上植入恶意程序。

 

据研究人员表示,在Android 8之前的操作系统有一个设定,启用后将允许使用者从Google Play商店以外的平台来安装任意程序。不过Google在Android 8及后续版本上则改变了该策略,要求每个程序都必须取得使用者的同意,才能安装不明来源的程序。

可是该策略也有例外,如果让某些内置系统程序自动被列入白名单,就无需征求使用者同意就能从任何来源安装程序,例如Drive或NFC Service。

这意味着假设使用者的手机支持NFC,而且启用了可让两台Android手机互相交换数据的Android Beam功能,那么攻击者就能通过Android Beam传送一个APK到附近的Android设备上。中招者只要不小心点选了接收完成(Beam completed)的通知,再点击所收到的文件,那么该文件就会自动安装,而不会显示“是否安装不明程序”的警告,引发攻击威胁。

所幸Google已经在今年10月修补了此一编号为CVE-2019-2114的安全漏洞,并将其列为高风险漏洞,但并未说明漏洞细节。实际上该漏洞涉及到NFC功能的预设权限,可允许骇客绕过与使用者之间的某些互动,提高恶意程序的安装机率。

为了避免受到此NFC漏洞影响,尚未安装10月更新的Android用户,也可以简单地关闭Android Beam功能或是把Android Beam自白名单中删除即可。

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多