首页     新闻     数据     报告     活动
  

Android 8以后版本曝NFC漏洞可植入恶意代码


来源:中关村在线 2019/11/6 9:12:35

每当人们出入小区门禁或乘坐公交地铁时,使用带有NFC(近场通信,Near Field Communication)功能的手机即可快速刷卡通过,为大家的生活出行带来了极大便利。可是近日安全研究人员却发现,Android 8(Oreo)版本以后的操作系统却存在着一个高风险NFC漏洞,能让附近的恶意攻击者在Android手机上植入恶意程序。

据研究人员表示,在Android 8之前的操作系统有一个设定,启用后将允许使用者从Google Play商店以外的平台来安装任意程序。不过Google在Android 8及后续版本上则改变了该策略,要求每个程序都必须取得使用者的同意,才能安装不明来源的程序。

可是该策略也有例外,如果让某些内置系统程序自动被列入白名单,就无需征求使用者同意就能从任何来源安装程序,例如Drive或NFC Service。

这意味着假设使用者的手机支持NFC,而且启用了可让两台Android手机互相交换数据的Android Beam功能,那么攻击者就能通过Android Beam传送一个APK到附近的Android设备上。中招者只要不小心点选了接收完成(Beam completed)的通知,再点击所收到的文件,那么该文件就会自动安装,而不会显示“是否安装不明程序”的警告,引发攻击威胁。

所幸Google已经在今年10月修补了此一编号为CVE-2019-2114的安全漏洞,并将其列为高风险漏洞,但并未说明漏洞细节。实际上该漏洞涉及到NFC功能的预设权限,可允许骇客绕过与使用者之间的某些互动,提高恶意程序的安装机率。

为了避免受到此NFC漏洞影响,尚未安装10月更新的Android用户,也可以简单地关闭Android Beam功能或是把Android Beam自白名单中删除即可。

分享到新浪微博 分享到腾讯微博 收藏

相关文章

月点击排行
关于本站    联系我们    官方微博    手机版
Copyright © 2013-2019 NFC产业网 粤ICP备11061396号-6  

粤公网安备 44030602001001号