CVE-2019-2114 漏洞報告指出,問題源自一項鮮為人知的 Android OS 功能,它就是 NFC Beaming 。所有執行 Android 8 Oreo 及以上版本的裝置,都會受到影響。
據悉,NFC 廣播透過裝置內部的 Android OS 服務(Android Beam)來工作。(截圖 via ZDNet)
這項服務允許 Android 裝置使用近場通訊(NFC)技術來替代 Wi-Fi 或藍芽,將影象、檔案、影片、甚至應用程式,傳送到另一臺裝置上。
然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人員發現:在 Android 8(Oreo)或更高版本的系統上透過 NFC 廣播來發送應用程式,並不會顯示這一提示。
相反,該通知允許使用者一鍵安裝應用程式,而不發出任何安全警告。
儘管缺少一個提示,聽起來似乎並不那麼重要,但它還是成為了 Android 安全模型中的一個重大問題。
慶幸的是,谷歌已在 2019 年 10 月修復了這個影響 Android 裝置的 NFC Beaming 漏洞。
Android 8 Oreo 之前,這項設定並沒有什麼問題。然而從 Android 8 Oreo 開始,谷歌將這種機制重新設計為基於 App 的設定。
在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名單,獲得了與官方 Play 應用商店相同的信任許可權。
谷歌表示,Android Beam 服務從來就不是安裝應用程式的一種方式,而僅僅是一種在裝置之間傳輸資料的方式。
(圖自:LG)
對於數百萬仍處於危險之中的 Android 使用者,我們在此建議大家儘快升級手機的安全補丁、或者儘量在不使用時關閉 NFC 和 Android Beam 功能。
對正常人沒有影響……
nfc有效距離不到10釐米
這麼近的距離想控制你的手機還要駭客?
CVE-2019-2114 漏洞報告指出,問題源自一項鮮為人知的 Android OS 功能,它就是 NFC Beaming 。所有執行 Android 8 Oreo 及以上版本的裝置,都會受到影響。
據悉,NFC 廣播透過裝置內部的 Android OS 服務(Android Beam)來工作。(截圖 via ZDNet)
這項服務允許 Android 裝置使用近場通訊(NFC)技術來替代 Wi-Fi 或藍芽,將影象、檔案、影片、甚至應用程式,傳送到另一臺裝置上。
然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人員發現:在 Android 8(Oreo)或更高版本的系統上透過 NFC 廣播來發送應用程式,並不會顯示這一提示。
相反,該通知允許使用者一鍵安裝應用程式,而不發出任何安全警告。
儘管缺少一個提示,聽起來似乎並不那麼重要,但它還是成為了 Android 安全模型中的一個重大問題。
慶幸的是,谷歌已在 2019 年 10 月修復了這個影響 Android 裝置的 NFC Beaming 漏洞。
Android 8 Oreo 之前,這項設定並沒有什麼問題。然而從 Android 8 Oreo 開始,谷歌將這種機制重新設計為基於 App 的設定。
在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名單,獲得了與官方 Play 應用商店相同的信任許可權。
谷歌表示,Android Beam 服務從來就不是安裝應用程式的一種方式,而僅僅是一種在裝置之間傳輸資料的方式。
(圖自:LG)
對於數百萬仍處於危險之中的 Android 使用者,我們在此建議大家儘快升級手機的安全補丁、或者儘量在不使用時關閉 NFC 和 Android Beam 功能。