NFC存在安全漏洞

2011年，谷歌在Android 4.0系统引入Android Beam功能，能够最大程度地利用NFC进行分享。

NFC Beam允许Android设备使用无线电波将图像、文件、视频或者应用程序之类的数据发送到附近的另一台设备，以替代WiFi或蓝牙。

近期发现此项功能中存在一个漏洞，漏洞名为CVE-2019-2114，黑客可以利用此漏洞将恶意软件传播到附近的手机。

一般情况下，通过NFC传输的应用程序（APK文件）会存储在磁盘上，并在屏幕上显示通知。此外该通知会询问手机持有人是否同意NFC服务从未知来源安装应用程序。

但是研究人员发现在Android 8（Oreo）及更高版本的手机上并没有此项通知服务。也就是说，在这种情况下，NFC会默认允许设备一键安装应用程序，而不会发出任何安全警告。

也正是这个漏洞给了黑客可趁之机。

由于没有提示从未知来源进行安装，恶意软件会直接开始安装，很多用户会误以为是来自官方商店的消息，然而在安装之后则会面临新的危险。

影响

目前几乎所有的智能手机都默认开启了NFC功能。

幸运的是，仅当两个设备相互靠近且距离小于4厘米的情况下，才会启动NFC连接，这意味着攻击者需要与受害者的手机非常接近，因此攻击需要一定的条件限制。

为了安全起见，用户可以禁用NFC功能和Android Beam服务，如果用户需要使用到NFC功能，则可以单独关闭Android Beam服务，这个操作可以阻止NFC文件传输操作，但不会禁用其他NFC功能。

谷歌在此前的更新中修复了这个漏洞，但依然有百万的用户处于危险之中，因此需要尽快更新系统或者禁用Android Beam服务。

关于该漏洞的技术报告，可参照此链接：

https://wwws.nightwatchcybersecurity.com/2019/10/24/nfc-beaming-bypasses-security-controls-in-android-cve-2019-2114/

* 本文由看雪编辑 LYA 编译自ZDNet，转载请注明来源及作者。

* 原文链接：

https://www.zdnet.com/article/android-bug-lets-hackers-plant-malware-via-nfc-beaming/

声明：该文观点仅代表作者本人，转载请注明来自看雪