Ошибка Android позволяет хакерам распространять вредоносное ПО на близлежащий смартфон с помощью малоизвестной функции, называемой NFC beaming.
Функция работает через внутренний сервис Android OS, известный как Android Beam. Эта услуга позволяет устройству Android отправлять данные, такие как изображения, файлы, видео или даже приложения, на другое соседнее устройство, используя радиоволны NFC (Near-Field Communication), в качестве альтернативы Wi-Fi или Bluetooth.
Как правило, приложения (файлы APK), отправленные с помощью NFC, хранятся на диске, а на экране отображается уведомление. Уведомление спрашивает владельца устройства, хочет ли он разрешить службе NFC устанавливать приложение из неизвестного источника.
Но в январе этого года исследователь безопасности по имени Я. Шафранович обнаружил, что приложения, отправленные через NFC на Android 8 (Oreo) или более поздние версии, не будут отображать это приглашение. Вместо этого уведомление позволит пользователю установить приложение одним нажатием без предупреждения системы безопасности.
Это серьезная проблема в модели безопасности Android. Устройствам Android обычно не разрешается устанавливать приложения из «неизвестных источников» — поскольку все, что установлено вне официального магазина Google Play, считается ненадежным и непроверенным.
Если пользователи хотят установить приложение из-за пределов Google Play, они должны посетить раздел «Установка приложений из неизвестных источников» и включить эту функцию.
До Android 8 этот параметр «Установка из неизвестных источников» был общесистемным параметром, одинаковым для всех приложений. Но, начиная с Android 8, Google переделал этот механизм.
В современных версиях Android пользователи могут посетить раздел «Установка неизвестных приложений» в настройках безопасности Android и разрешить определенным приложениям устанавливать другие приложения. Например, приложения Chrome и Dropbox могут устанавливать приложения без блокировки.
Ошибка CVE-2019-2114 заключалась в том, что приложение Android Beam также было занесено в белый список и получало тот же уровень доверия, что и официальное приложение Google Play.
Google сказал, что этого не должно было произойти, поскольку сервис Android Beam никогда не предназначался для установки приложений, а служил просто для передачи данных с устройства на устройство.
Октябрьские исправления Android от 2019 года убрали службу Android Beam из белого списка надежных источников ОС.
Тем не менее, многие миллионы пользователей остаются в опасности. Если у пользователей включена служба NFC и служба Android Beam, злоумышленник может внедрить вредоносное ПО в их смартфоны.
Поскольку нет запроса на установку из неизвестного источника, нажатие на уведомление запускает установку вредоносного приложения. Существует опасность, что многие пользователи могут неверно истолковать сообщение от Google Play и установить приложение, думая, что это обновление.
Опасность усугубляется тем, что функция NFC включена по умолчанию на большинстве всех недавно проданных устройствах. Многие владельцы Android-смартфонов могут даже не знать, что у них сейчас включен NFC.
Хорошей новостью является то, что NFC-соединения инициируются только тогда, когда два устройства расположены рядом друг с другом на расстоянии 4 см или меньше. Это означает, что злоумышленник должен поднести свой смартфон к устройству жертвы, что не всегда возможно.
В целях безопасности любой пользователь может отключить как функцию NFC, так и службу Android Beam.
Пока нет поводов для паники. Просто отключите Android Beam и NFC, если они вам не нужны, или обновите свой смартфон, чтобы получить октябрьское обновления безопасности и продолжайте использовать как NFC, так и Android Beam как обычно.