Дыра в Android позволяет хакерам внедрять вредоносные программы через NFC-лучи

Москва, 11:55, 02 Ноя 2019, редакция FTimes.ru, автор Сергей Кузнецов.

Это влияет на все устройства Android 8 (Oreo) или более поздней версии. Google выпустил патч в прошлом месяце, в октябре 2019 года.

В прошлом месяце Google исправил ошибку Android, которая позволяет хакерам распространять вредоносное ПО на соседний телефон с помощью функции Android OS, называемой NFC beaming.

Передача NFC работает через внутренний сервис Android OS, известный как Android Beam. Эта услуга позволяет устройству Android отправлять данные, такие как изображения, файлы, видео или даже приложения, на другое соседнее устройство, используя радиоволны NFC (Near-Field Communication), в качестве альтернативы WiFi или Bluetooth.

Как правило, приложения (файлы APK), отправленные с помощью NFC-лучей, хранятся в памяти, а на экране отображается уведомление. Уведомление спрашивает владельца устройства, хочет ли он разрешить службе NFC устанавливать приложение из неизвестного источника.

Но в январе этого года исследователь безопасности по имени Я. Шафранович обнаружил, что приложения, отправленные через NFC-лучи на Android 8 (Oreo) или более поздних версиях, не будут отображать это приглашение. Вместо этого уведомление позволит пользователю установить приложение одним нажатием без предупреждения системы безопасности.

Хотя отсутствие приглашения звучит несерьезно, это серьезная проблема в модели безопасности Android. Устройствам Android не разрешается устанавливать приложения из «неизвестных источников» — поскольку все, что установлено извне официального Play Store, считается ненадежным и непроверенным.

Если пользователи хотят установить приложение из-за пределов Play Store, они должны посетить раздел «Установка приложений из неизвестных источников» своей ОС Android и включить эту функцию.

До Android 8 этот параметр «Установка из неизвестных источников» был общесистемным параметром, одинаковым для всех приложений. Но, начиная с Android 8, Google переделал этот механизм в настройку приложения.

В современных версиях Android пользователи могут посетить раздел «Установка неизвестных приложений» в настройках безопасности Android и разрешить определенным приложениям устанавливать другие приложения. Например, приложения Chrome и Dropbox Android могут устанавливать приложения, аналогичные приложению Play Store, без блокировки.

Ошибка CVE-2019-2114 заключалась в том, что приложение Android Beam также было занесено в белый список и получало тот же уровень доверия, что и официальное приложение Play Store.

В Google сказали, что этого не должно было произойти, поскольку сервис Android Beam никогда не предназначался для установки приложений, а просто для передачи данных с устройства на устройство.

Октябрьские исправления Android от 2019 года убрали службу Android Beam из белого списка надежных источников ОС.

Тем не менее, многие миллионы пользователей остаются в опасности. Если у пользователей включена служба NFC и служба Android Beam, ближайший злоумышленник может внедрить вредоносное ПО (вредоносные приложения) на их телефоны.

Поскольку нет запроса на установку из неизвестного источника, нажатие на уведомление запускает установку вредоносного приложения. Существует опасность, что многие пользователи могут неверно истолковать сообщение, пришедшее из Play Store, и установить приложение, думая, что это обновление.

 

Как защитить себя и смартфон?

 

Есть хорошие новости и плохие новости. Плохая новость заключается в том, что функция NFC включена по умолчанию на большинстве всех недавно продаваемых устройств. Многие владельцы Android-смартфонов могут даже не знать, что NFC включен даже сейчас.

Хорошей новостью является то, что NFC-соединения инициируются только тогда, когда два устройства расположены рядом друг с другом на расстоянии 4 см или меньше. Это означает, что злоумышленник должен поднести свой телефон к телефону жертвы, что не всегда возможно.

В целях безопасности любой пользователь может отключить как функцию NFC, так и службу Android Beam.

Если пользователи используют свои телефоны Android в качестве карт доступа или в качестве бесконтактных платежных решений, они могут оставить NFC включенным, но отключить службу Android Beam. Это блокирует передачу файла по NFC, но все же разрешает другие операции NFC.

Так что нет необходимости паниковать. Просто отключите Android Beam и NFC, если они вам не нужны, или обновите свой телефон, чтобы получить обновления безопасности за октябрь 2019 года, и продолжайте использовать как NFC, так и Beam как обычно.