駭客利用Android的NFC漏洞,就能在手機上植入惡意程式

資安顧問團隊NightWatch Cybersecurity日前警告,Android 8(Oreo)以後的版本含有一個近場通訊(NFC)漏洞,將允許附近的駭客於Android手機上植入惡意程式。

Google已經在今年10月修補了此一編號為CVE-2019-2114的安全漏洞,但只把它列為高風險(High)漏洞,也未說明漏洞細節,它攸關NFC功能的預設權限,將允許駭客繞過與使用者之間的某些互動,提高安裝惡意程式的機會。

NightWatch Cybersecurity說明,在Android 8之前的作業系統有一個設定,啟用後將允許使用者自Google Play以外的來源安裝任何程式,但Google於Android 8變更了此一政策,要求每個程式都必須取得使用者的同意,才能安裝不明來源的程式,只是該政策有些例外,讓某些內建的系統程式自動被列入白名單,不需徵求使用者同意就能自任何來源安裝程式,例如Drive或NFC Service。

這意味著假設使用者的手機支援NFC,而且啟用了可讓兩支Android手機互相交換資料的Android Beam功能,那麼駭客就能藉由Android Beam傳送一個APK到附近的Android裝置上,受害者只要按下接收完成(Beam completed)的通知,再點選所收到的檔案,那麼檔案就會自動安裝,不會再顯示「是否安裝不明程式」的警告。

假設Android用戶無法安裝10月更新,也可以簡單地關閉Android Beam功能或是把Android Beam自白名單中移除即可。

原文來自 iThome Online