五金资讯 育儿资讯 宠物资讯 综艺频道 数码资讯 旅游资讯 校园资讯 it资讯  
人工智能 服装服饰 农业信息 健康资讯 范文论文 面试技巧 教育资讯 心情说说  
首页>> it资讯 >>正文
安卓被爆NFC漏洞,或被黑客利用向手机植入恶意软件
2020-05-15 20:39:58  来源:尚品资讯网 

  谷歌上个月修复了一个安卓漏洞,这个漏洞可以让黑客通过一个鲜为人知的安卓操作系统功能,即NFC,向附近的手机植入恶意软件。

  NFC会通过一个叫做Android Beam的内部安卓操作系统服务开展工作。这项服务允许安卓设备使用NFC无线电波将图像、文件、视频甚至应用等数据发送到另一个在附近的设备,作为WiFi或蓝牙的替代。

  通常,通过NFC发送的应用(APK文件)存储在磁盘上,并会在屏幕上显示一个通知。通知消息会询问设备所有者是否允许NFC服务安装来自未知来源的应用。

  但是,今年1月,一位名叫Y. Shafranovich的安全研究员发现,在Android 8(Oreo)或更高版本上,通过NFC发送的应用不会显示这个提示信息。相反,该通知将允许用户轻点一下就可以安装应用,而无需任何安全警告。

  虽然缺少一个提示信息听起来并不重要,但这是安卓安全模型中的一个主要问题。安卓设备不允许安装来自“未知来源”的应用,因为任何从官方商店之外安装的应用都被认为是不可信和未经验证的。

  如果用户想在官方商店之外安装应用,他们必须访问安卓操作系统的“安装来自未知来源应用”部分,并启用该功能。

  在Android 8之前,这个“来自未知来源安装”选项是一个系统范围的设置,对所有应用都是一样的。但是,从Android 8开始,谷歌重新设计了这种机制,使其成为一种基于应用的设置。

  在最新的Android版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定的应用安装其他应用。

  CVE-2019-2114的错误在于,Android Beam应用也被列入了白名单,获得了与官方应用同样程度的信任。

  谷歌表示,这并不是有意为之,因为Android Beam服务从来就不是用来安装应用的,而仅仅是用来在设备之间传输数据的。

  2019年10月发布的安卓补丁将Android Beam服务从可信来源的安卓操作系统白名单中移除。

  然而,仍有数百万用户面临风险。如果用户启用了NFC服务和Android Beam服务,附近的攻击者可能会在他们的手机上植入恶意软件。

  由于没有提示来自未知来源的安装,点击通知将启动恶意应用的安装。有一种危险是,许多用户可能误解消息来自官方,并安装应用,误认为它是一个更新。

  如何保护自己?

  有好消息,也有坏消息。坏消息是,几乎所有新出售的设备都默认启用了NFC功能。更可怕的是,许多安卓智能手机用户甚至可能都没有意识到自己的NFC已经启用。

  好消息是,只有当两个设备相距4厘米或更小时,才会启动NFC连接。这意味着攻击者需要让他的手机非常接近受害者的手机,这一点对于恶意软件植入者来说并不简单。

  为了安全起见,任何用户都最好禁用NFC功能和Android Beam服务。

  如果使用安卓手机作为访问卡,或者作为非接触式支付解决方案,可以让NFC保持启用状态,但需要禁用Android Beam服务。这会阻止NFC文件发送,但仍允许其他NFC操作。

  所以,没有必要恐慌。如果你不需要Android Beam和NFC,就禁用它们,或者更新你的手机以接收2019年10月的安全更新,并继续像之前一样使用NFC和Beam。

大量跨境电商逃税泰国考虑对亚马逊和FB等巨头征税
全感官输入2.0时代:百度输入法变身方言达人巴适得板!
深港通满月:格力最受外资追捧 老对手美的第二
神策AI大脑赋能全线产品深度升级神策数据已实现过亿年...
1
 
iOS 12.1强力优化iPhone X/8:电池性能管理更智能
华为首款5G手机开卖83天狂降1900元可谓最强麒麟980手机
语音交互带火智能家居产业链
一年140亿美元“砸”出物联网,三星开创智能无界时代
高德地图副总裁关于高德日订单量的传言都不是真的
互联网思维的六大特性
这张图让你了解高通骁龙845
进博会5G巡馆机器人约半小时巡查一个场馆
发布三个月 Android 5.0市场份额才1.6%
知否|明明不是冰,为何薄荷会让你觉得清爽无比?
 
1
1
携程网:全面贯彻旅行社条例 提升旅游服务水...
北京食品学会举办科技成果转化评价会
原58团购市场运营总监阚洪岩加盟聚美优品
印度封城21天,Netflix及FB宣布暂时压缩视频...
领英:人才智能时代下的HR领导者(附下载)
打通物联网运算的“微循环”
打破机器翻译的高冷让翻译更有“人情味”
网曝ofo小黄车退押金周期延长至15天
微信iOS版v6.6.7更新内容大全:文章浮窗+朋...
阿里巴巴欲借道国际板回归A股
1  
1
1
安卓被爆NFC漏洞,或被黑客利用向手机植入恶意软件
供应链乘5G春风iPhone销量下一年估计增加10%以上
3398元!黑金旗舰版vivo X20已开启预售
黄晓明让直达号火了: @一下 直达手机上的“牙医”
引领在线音乐 酷狗获易观之星Top App大奖
诺基亚计划今年在芬兰裁员180人 并计划加大对5G和数字化投资
亚马逊推出Myhabit闪购网站
第四张5G牌照发给广电,能打破三大运营商的垄断吗?
如何选购5G手机
CNNIC:手机端面对微信 其他IM产品该如何发展?
尚品资讯网