艾特商业网

Google Android威胁:NFC使设备遭受恶意软件攻击

更新时间:2021-12-05 08:49:53

导读 对于智能手机用户而言,便利似乎仍然是要付出代价的。随着每一项新的创新产品推向市场,也有随之而来的新安全漏洞的风险。十月份,我报道了

对于智能手机用户而言,便利似乎仍然是要付出代价的。随着每一项新的创新产品推向市场,也有随之而来的新安全漏洞的风险。十月份,我报道了三星创新的显示屏指纹被廉价的凝胶屏幕保护膜所击败。这次技术并不是什么新事物,我们谈论的是非接触式支付和访问控制背后的技术。但是经过调整的Google安全设置已打开了一个严重漏洞,现已修复。现在,数百万的用户需要应用最新的Android安全更新集或更改其设置。

NFC(近场通信)已经几乎像蓝牙一样普及。通过将手机与其他设备或阅读器保持几厘米的距离,您可以打开无线数据链接,该链接通常用于交换付款或访问凭据。但是,同一链接也可以用于在设备之间传输大量数据。使用Android时,采用Android Beam的形式,这是一种便利的方法,即使没有使用过,也可以在没有外部网络或蓝牙的情况下将数据从一台设备传递到另一台设备。

由于这是一项核心功能,因此大多数新的Android设备都附带启用了NFC的支付和数据传输功能。没问题。但是,与另一个默认的Android选项结合使用时,会引起一个问题-一个按应用设置的安全设置,用于安装未知应用。之所以称为“未知应用程序”,是因为它们来自Play商店以外的地方-这样做会带来风险,应警告用户,然后再允许其安装任何此类应用程序。在Android 8之前,启用或禁用此类安装在整个系统范围内。问题是Google随后更改了此设置,从而使设置特定于应用程序,并默认将自己的核心应用程序设为受信任的对象,包括Android Beam。

那么,攻击将如何表现出来?用户将触摸恶意的付款或访问终端,用攻击者的手机触摸其设备,或者将其手机放在隐藏有终端的表面上。目标设备将显示一个提示,即一键式选项,以允许安装该应用程序。因此,这不是警告。因此,大多数用户会认为这是标准的Play商店或Android更新-为什么您会另外考虑呢?

该漏洞已得到确认,严重性为高,已修复。CVE-2019-2114被描述为“由于默认权限而导致在软件包安装过程中[在NFC的默认特权中]用户交互需求的本地旁路”,[这可能会通过不安装应用程序而导致本地特权升级现在我们知道了这实际上意味着什么。这个bug被修补十月,与其他关键的Android安全修补程序。应用补丁后,Android Beam已被删除为可信任来源,从而消除了该漏洞。不用说,当出现严重的安全问题时,用户应尽快更新设备并保持更新。

尽管该漏洞很严重,但是如果您知道该风险,则防御起来也相对简单。如果您出门在外时会看到应用安装通知,请不要无意间单击。而且,如果这种情况是在您外出旅行时发生的,并且可能最近才接触过终端机或设备,请谨慎行事。坦白地说,只需更改设置或立即应用更新,即可避免风险。用户可以在其设备上单击NFC和付款设置选项,然后为Android Beam禁用NFC。可以按常规方式为您的设备应用更新。

由于此漏洞的详细信息现在是公开的,因此提供了CVE核心描述之外的详细信息,因此用户应格外小心。在修补系统和使用户意识到之前,存在时间间隔,这确实带来了一定的风险。但是,它很容易修复,只需几秒钟。正如我之前写过多次的文章一样,我们从允许在设备上使用的廉价或免费应用程序的风险中吸取的风险需要应用一些常识。当然,此问题有所不同,这是系统问题,而不是Play商店应用漏洞。也就是说,它确实发挥了我们随意使用应用程序和安装方法的作用,这可能值得考虑。

免责声明:本文由用户上传,如有侵权请联系删除!