Меню
Поиск

Ошибка Android превратила NFC в технологию бесконтактного взлома

4 ноябрь, 2019 - 14:26

Ошибка Android превратила NFC в технологию бесконтактного взлома

Google выпустила в прошлом месяце патч, исправляющий недоработку, которая позволяет хакерам пересылать вредоносный код с телефона на телефон посредством беспроводного сервиса Android Beam.

Этот сервис предназначен для переноса данных (изображений, файлов, видео и даже приложений) на расположенное вблизи устройство, используя радиоинтерфейс NFC (Near-Field Communication).

Обычно, пересылка установочных файлов APK сопровождается всплывающим на экране требованием согласия владельца на установку приложения из неизвестного источника. Но в январе этого года, эксперт ИТ-безопасности Шафранович (Y. Shafranovich) обнаружил, что на Android 8 (Oreo) и в более свежих версиях ОС приложения, полученные через NFC устанавливаются одним нажатием, без предупреждения от системы безопасности.

Отсутствие этой подсказки – существенная проблема для модели безопасности Android, запрещающей устройствам самостоятельную установку приложений из неизвестных источников. Весь код за пределами Play Store принято считать ненадёжным и непроверенным.

До Android 8 пользователи могли активировать в настройках опцию «устанавливать приложения из неизвестных источников», но c этим обновлением появилась возможность разрешать такую установку для отдельных приложений.

Суть ошибки с кодовым номером CVE-2019-2114 заключается в том, что Android Beam оказался в этом списке, получив тот же уровень доверия, что и официальный сервис Play Store.

Google заявила, что никогда не рассматривала Android Beam как способ установки приложений и с октября 2019 г. удалила данный сервис из списка доверенных источников кода для мобильной операционной системы.

Миллионы владельцев новейших смартфонов, не получивших этот патч, по прежнему рискуют, просто нажав на оповещение, запустить процесс установки неизвестно чего. Впрочем, риск этот невелик, нужно лишь следить, чтобы чужой аппарат не оказался на расстоянии 4 см от вашего телефона – предельная дальность действия для технологии NFC.

Гарантированно защитить смартфон от данного типа взлома без установки патча можно, блокировав Android Beam. При этом сохранится возможность использовать аппарат в качестве карты доступа или как средство бесконтактных платежей.