`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Ошибка Android превратила NFC в технологию бесконтактного взлома

+22
голоса

Ошибка Android превратила NFC в технологию бесконтактного взлома

Google выпустила в прошлом месяце патч, исправляющий недоработку, которая позволяет хакерам пересылать вредоносный код с телефона на телефон посредством беспроводного сервиса Android Beam.

Этот сервис предназначен для переноса данных (изображений, файлов, видео и даже приложений) на расположенное вблизи устройство, используя радиоинтерфейс NFC (Near-Field Communication).

Обычно, пересылка установочных файлов APK сопровождается всплывающим на экране требованием согласия владельца на установку приложения из неизвестного источника. Но в январе этого года, эксперт ИТ-безопасности Шафранович (Y. Shafranovich) обнаружил, что на Android 8 (Oreo) и в более свежих версиях ОС приложения, полученные через NFC устанавливаются одним нажатием, без предупреждения от системы безопасности.

Отсутствие этой подсказки – существенная проблема для модели безопасности Android, запрещающей устройствам самостоятельную установку приложений из неизвестных источников. Весь код за пределами Play Store принято считать ненадёжным и непроверенным.

До Android 8 пользователи могли активировать в настройках опцию «устанавливать приложения из неизвестных источников», но c этим обновлением появилась возможность разрешать такую установку для отдельных приложений.

Суть ошибки с кодовым номером CVE-2019-2114 заключается в том, что Android Beam оказался в этом списке, получив тот же уровень доверия, что и официальный сервис Play Store.

Google заявила, что никогда не рассматривала Android Beam как способ установки приложений и с октября 2019 г. удалила данный сервис из списка доверенных источников кода для мобильной операционной системы.

Миллионы владельцев новейших смартфонов, не получивших этот патч, по прежнему рискуют, просто нажав на оповещение, запустить процесс установки неизвестно чего. Впрочем, риск этот невелик, нужно лишь следить, чтобы чужой аппарат не оказался на расстоянии 4 см от вашего телефона – предельная дальность действия для технологии NFC.

Гарантированно защитить смартфон от данного типа взлома без установки патча можно, блокировав Android Beam. При этом сохранится возможность использовать аппарат в качестве карты доступа или как средство бесконтактных платежей.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT