谷歌上個月修復(fù)了一個安卓漏洞,這個漏洞可以讓黑客通過一個鮮為人知的安卓操作系統(tǒng)功能,即NFC,向附近的手機植入惡意軟件。
NFC會通過一個叫做Android Beam的內(nèi)部安卓操作系統(tǒng)服務(wù)開展工作。這項服務(wù)允許安卓設(shè)備使用NFC無線電波將圖像、文件、視頻甚至應(yīng)用等數(shù)據(jù)發(fā)送到另一個在附近的設(shè)備,作為WiFi或藍牙的替代。
通常,通過NFC發(fā)送的應(yīng)用(APK文件)存儲在磁盤上,并會在屏幕上顯示一個通知。通知消息會詢問設(shè)備所有者是否允許NFC服務(wù)安裝來自未知來源的應(yīng)用。
但是,今年1月,一位名叫Y. Shafranovich的安全研究員發(fā)現(xiàn),在Android 8(Oreo)或更高版本上,通過NFC發(fā)送的應(yīng)用不會顯示這個提示信息。相反,該通知將允許用戶輕點一下就可以安裝應(yīng)用,而無需任何安全警告。
雖然缺少一個提示信息聽起來并不重要,但這是安卓安全模型中的一個主要問題。安卓設(shè)備不允許安裝來自“未知來源”的應(yīng)用,因為任何從官方商店之外安裝的應(yīng)用都被認為是不可信和未經(jīng)驗證的。
如果用戶想在官方商店之外安裝應(yīng)用,他們必須訪問安卓操作系統(tǒng)的“安裝來自未知來源應(yīng)用”部分,并啟用該功能。
在Android 8之前,這個“來自未知來源安裝”選項是一個系統(tǒng)范圍的設(shè)置,對所有應(yīng)用都是一樣的。但是,從Android 8開始,谷歌重新設(shè)計了這種機制,使其成為一種基于應(yīng)用的設(shè)置。
在最新的Android版本中,用戶可以訪問安卓安全設(shè)置中的“安裝未知應(yīng)用”部分,并允許特定的應(yīng)用安裝其他應(yīng)用。
CVE-2019-2114的錯誤在于,Android Beam應(yīng)用也被列入了白名單,獲得了與官方應(yīng)用同樣程度的信任。
谷歌表示,這并不是有意為之,因為Android Beam服務(wù)從來就不是用來安裝應(yīng)用的,而僅僅是用來在設(shè)備之間傳輸數(shù)據(jù)的。
2019年10月發(fā)布的安卓補丁將Android Beam服務(wù)從可信來源的安卓操作系統(tǒng)白名單中移除。
然而,仍有數(shù)百萬用戶面臨風(fēng)險。如果用戶啟用了NFC服務(wù)和Android Beam服務(wù),附近的攻擊者可能會在他們的手機上植入惡意軟件。
由于沒有提示來自未知來源的安裝,點擊通知將啟動惡意應(yīng)用的安裝。有一種危險是,許多用戶可能誤解消息來自官方,并安裝應(yīng)用,誤認為它是一個更新。
如何保護自己?
有好消息,也有壞消息。壞消息是,幾乎所有新出售的設(shè)備都默認啟用了NFC功能。更可怕的是,許多安卓智能手機用戶甚至可能都沒有意識到自己的NFC已經(jīng)啟用。
好消息是,只有當兩個設(shè)備相距4厘米或更小時,才會啟動NFC連接。這意味著攻擊者需要讓他的手機非常接近受害者的手機,這一點對于惡意軟件植入者來說并不簡單。
為了安全起見,任何用戶都最好禁用NFC功能和Android Beam服務(wù)。
如果使用安卓手機作為訪問卡,或者作為非接觸式支付解決方案,可以讓NFC保持啟用狀態(tài),但需要禁用Android Beam服務(wù)。這會阻止NFC文件發(fā)送,但仍允許其他NFC操作。
所以,沒有必要恐慌。如果你不需要Android Beam和NFC,就禁用它們,或者更新你的手機以接收2019年10月的安全更新,并繼續(xù)像之前一樣使用NFC和Beam。
