无NFC的手机不买? 安卓曝NFC漏洞可植入恶意代码

  每当人们出入小区门禁或乘坐公交地铁时,使用带有NFC(近场通信,Near Field Communication)功能的手机即可快速刷卡通过,为大家的生活出行带来了极大便利。可是近日安全研究人员却发现,Android 8(Oreo)版本以后的操作系统却存在着一个高风险NFC漏洞,能让附近的恶意攻击者在Android手机上植入恶意程序。

无NFC的手机不买? 安卓曝NFC漏洞可植入恶意代码

  据研究人员表示,在Android 8之前的操作系统有一个设定,启用后将允许使用者从Google Play商店以外的平台来安装任意程序。不过Google在Android 8及后续版本上则改变了该策略,要求每个程序都必须取得使用者的同意,才能安装不明来源的程序。

  可是该策略也有例外,如果让某些内置系统程序自动被列入白名单,就无需征求使用者同意就能从任何来源安装程序,例如Drive或NFC Service。

  这意味着假设使用者的手机支持NFC,而且启用了可让两台Android手机互相交换数据的Android Beam功能,那么攻击者就能通过Android Beam传送一个APK到附近的Android设备上。中招者只要不小心点选了接收完成(Beam completed)的通知,再点击所收到的文件,那么该文件就会自动安装,而不会显示“是否安装不明程序”的警告,引发攻击威胁。

  所幸Google已经在今年10月修补了此一编号为CVE-2019-2114的安全漏洞,并将其列为高风险漏洞,但并未说明漏洞细节。实际上该漏洞涉及到NFC功能的预设权限,可允许骇客绕过与使用者之间的某些互动,提高恶意程序的安装机率。

  为了避免受到此NFC漏洞影响,尚未安装10月更新的Android用户,也可以简单地关闭Android Beam功能或是把Android Beam自白名单中删除即可。

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
返回『行业动态』
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启