您的位置:首页>>移动互联

安卓被爆NFC漏洞,或被黑客利用向手机植入恶意软件

发布时间:2019-11-04 16:44:54  来源:猎云网    背景:

  谷歌上个月修复了一个安卓漏洞,这个漏洞可以让黑客通过一个鲜为人知的安卓操作系统功能,即NFC,向附近的手机植入恶意软件。

  NFC会通过一个叫做Android Beam的内部安卓操作系统服务开展工作。这项服务允许安卓设备使用NFC无线电波将图像、文件、视频甚至应用等数据发送到另一个在附近的设备,作为WiFi或蓝牙的替代。

  通常,通过NFC发送的应用(APK文件)存储在磁盘上,并会在屏幕上显示一个通知。通知消息会询问设备所有者是否允许NFC服务安装来自未知来源的应用。

  但是,今年1月,一位名叫Y. Shafranovich的安全研究员发现,在Android 8(Oreo)或更高版本上,通过NFC发送的应用不会显示这个提示信息。相反,该通知将允许用户轻点一下就可以安装应用,而无需任何安全警告。

  虽然缺少一个提示信息听起来并不重要,但这是安卓安全模型中的一个主要问题。安卓设备不允许安装来自“未知来源”的应用,因为任何从官方商店之外安装的应用都被认为是不可信和未经验证的。

  如果用户想在官方商店之外安装应用,他们必须访问安卓操作系统的“安装来自未知来源应用”部分,并启用该功能。

  在Android 8之前,这个“来自未知来源安装”选项是一个系统范围的设置,对所有应用都是一样的。但是,从Android 8开始,谷歌重新设计了这种机制,使其成为一种基于应用的设置。

  在最新的Android版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定的应用安装其他应用。

  CVE-2019-2114的错误在于,Android Beam应用也被列入了白名单,获得了与官方应用同样程度的信任。

  谷歌表示,这并不是有意为之,因为Android Beam服务从来就不是用来安装应用的,而仅仅是用来在设备之间传输数据的。

  2019年10月发布的安卓补丁将Android Beam服务从可信来源的安卓操作系统白名单中移除。

  然而,仍有数百万用户面临风险。如果用户启用了NFC服务和Android Beam服务,附近的攻击者可能会在他们的手机上植入恶意软件。

  由于没有提示来自未知来源的安装,点击通知将启动恶意应用的安装。有一种危险是,许多用户可能误解消息来自官方,并安装应用,误认为它是一个更新。

  如何保护自己?

  有好消息,也有坏消息。坏消息是,几乎所有新出售的设备都默认启用了NFC功能。更可怕的是,许多安卓智能手机用户甚至可能都没有意识到自己的NFC已经启用。

  好消息是,只有当两个设备相距4厘米或更小时,才会启动NFC连接。这意味着攻击者需要让他的手机非常接近受害者的手机,这一点对于恶意软件植入者来说并不简单。

  为了安全起见,任何用户都最好禁用NFC功能和Android Beam服务。

  如果使用安卓手机作为访问卡,或者作为非接触式支付解决方案,可以让NFC保持启用状态,但需要禁用Android Beam服务。这会阻止NFC文件发送,但仍允许其他NFC操作。

  所以,没有必要恐慌。如果你不需要Android Beam和NFC,就禁用它们,或者更新你的手机以接收2019年10月的安全更新,并继续像之前一样使用NFC和Beam。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:猎云网

本文评论
哔哩哔哩TV版如何安装到电视上?当贝市场几步搞定
很多二次元爱好者或年轻群体喜欢观看B站内容,但是小屏手机哪比得上大屏电视?现在哔哩哔哩也有TV版你...
日期:02-25
天翼云远程医疗为重症患者开通24小时“生命快线”
新冠肺炎重症、危症患者发病过程短,对重症、危症患者集中收治并及时集中优质医疗资源全力救治是降...
日期:02-25
杰和科技无人值守技术再升级,JAHC3.0新功能解析
JAHC是杰和科技经过多年技术积累,结合行业需求自主研发的一套高可靠无人值守系统。该系统能够在设...
日期:02-25
事务0丢失,华为云数据库MySQL是如何做到的?
随着数据上云进程的加快,越来越多企业愿意把云下数据库搬到云上,同时对云上数据库的要求也越来越...
日期:02-25
可信云安全认证 金山云应急物资管理系统2.0全新上线,支持捐赠物跟踪
在新冠肺炎疫情的防控阻击战中,科技抗疫开始崭露头角,并逐渐发挥了越来越重要的作用。为解决抗疫...
日期:02-25
嵌入式BI案例:生产设备监控中心对接西门子系统,数据可视化助力智能工厂
近日,北京某工业系统集成商采用西安葡萄城自主研发的嵌入式商业智能和报表软件Wyn Enterprise对接...
日期:02-24
好视通云视频会议为孝感市教育信息化插上腾飞的翅膀!
今年恰逢新冠病毒全国爆发,湖北省孝感市作为全国第二重灾区,孝感市教育局敏锐地意识到疫情的爆发...
日期:02-24
百度地图推出复工地图,周边超市、餐饮、理发等民生小店营业时间速查
随着多地政府推动企业复工复产,在疫情较轻的地区,一些涉及民生所需的商店和场所已逐步恢复营业。...
日期:02-24
抗“疫”进行时——迪普科技保障医疗信息系统稳定运行
抗“疫” ,省人在行动
  浙江省人民医院成立于1984年,是集医疗、科研、教学、预...
日期:02-24
腾讯优图攻克口罩识别难题,口罩佩戴识别准确率超过99%
随着对抗新冠疫情的战役正式打响,口罩对控制疫情起到了相当关键的作用,但全民佩戴口罩也对诸如高...
日期:02-24
《宅草莓:hi,我也在线》怎么看?分享线上草莓音乐节观看教程
随着病毒的持续蔓延,很多线下音乐会、音乐节都纷纷延后或者取消演出,对于很多粉丝而言,已经购买的演...
日期:02-24
满足抗击疫情小程序数据需求 友盟+推出小程序统计
疫情当前,全民积极响应国家抗击新冠肺炎疫情的号召,许多企业及机构为了快速满足用户激增的线上“...
日期:02-21
深入统筹科技资源 平安科技构筑科技防疫线
近日,全国各个地区陆续开始复工复产,疫情防范也进入了一个不能放松的新阶段。科技企业作为防疫的...
日期:02-21
苏宁红孩子健康学堂 48场专家直播热度突破500万
2月1日至2月28日,苏宁倾情打造了红孩子健康学堂,由国内顶尖儿童专家组成的专家团,每天通过苏宁直...
日期:02-21
“幽灵猫”浮现网络空间,长亭科技曝Tomcat高危漏洞威胁
日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Apache Tomcat 中的文件读取/包含...
日期:02-21
官方紧急通知:不得一刀切禁止取件和投递 全面恢复投递秩序
疫情来袭非常期间,保证安全的最好办法就是尽量减少外出机会,所以快递小哥就成为了许多人少出门的...
日期:02-21
宅家期间遇投资、贷款骗局?腾讯手机管家助力手机信息财产安全
宅家期间接到陌生人电话你会怎么办,是不是比平时更倾向于和对方聊两句?小店老板王女士便接到了陌生...
日期:02-21
百度地图推出全景看武汉、云旅游服务,以AI之名坚定抗疫信念
这个冬天,突如其来的新冠肺炎疫情让全国人民的心都与武汉紧紧联系起来。这座最早被钟南山院士称为&ldqu...
日期:02-20
美国 Dish 运营商宣布 5G 网络将采用 open RAN 架构
据外媒报道,美国有线电视运营商Dish Network董事长Charlie Ergen透露,该公司将在未来的5G网络中使...
日期:02-20
  专栏介绍
半斤 的专栏
半斤发表的文章
积分:
自我介绍 :