2019-11-04 13:58
ZDNet 道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。 CVE-2019-2114 漏洞 告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。
据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。(截图 viaZDNet)
这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。
然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。
相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。
尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。
庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。
Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。
在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。
谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。
(图自:LG)
对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!