无NFC的手机不买？ 安卓曝NFC漏洞可植入恶意代码

• 梧州南站, 国内新闻
• 2019-11-06 09:36:13

每当人们出入小区门禁或乘坐公交地铁时，使用带有NFC（近场通信，Near Field Communication）功能的手机即可快速刷卡通过，为大家的生活出行带来了极大便利。可是近日安全研究人员却发现，Android 8（Oreo）版本以后的操作系统却存在着一个高风险NFC漏洞，能让附近的恶意攻击者在Android手机上植入恶意程序。iZZ梧州南站

 iZZ梧州南站

据研究人员表示，在Android 8之前的操作系统有一个设定，启用后将允许使用者从Google Play商店以外的平台来安装任意程序。不过Google在Android 8及后续版本上则改变了该策略，要求每个程序都必须取得使用者的同意，才能安装不明来源的程序。iZZ梧州南站

可是该策略也有例外，如果让某些内置系统程序自动被列入白名单，就无需征求使用者同意就能从任何来源安装程序，例如Drive或NFC Service。iZZ梧州南站

这意味着假设使用者的手机支持NFC，而且启用了可让两台Android手机互相交换数据的Android Beam功能，那么攻击者就能通过Android Beam传送一个APK到附近的Android设备上。中招者只要不小心点选了接收完成（Beam completed）的通知，再点击所收到的文件，那么该文件就会自动安装，而不会显示“是否安装不明程序”的警告，引发攻击威胁。iZZ梧州南站

所幸Google已经在今年10月修补了此一编号为CVE-2019-2114的安全漏洞，并将其列为高风险漏洞，但并未说明漏洞细节。实际上该漏洞涉及到NFC功能的预设权限，可允许骇客绕过与使用者之间的某些互动，提高恶意程序的安装机率。iZZ梧州南站

为了避免受到此NFC漏洞影响，尚未安装10月更新的Android用户，也可以简单地关闭Android Beam功能或是把Android Beam自白名单中删除即可。iZZ梧州南站