您的位置:首页>>移动互联

安卓被爆NFC漏洞,或被黑客利用向手机植入恶意软件

发布时间:2019-11-04 16:44:54  来源:猎云网    背景:

  谷歌上个月修复了一个安卓漏洞,这个漏洞可以让黑客通过一个鲜为人知的安卓操作系统功能,即NFC,向附近的手机植入恶意软件。

  NFC会通过一个叫做Android Beam的内部安卓操作系统服务开展工作。这项服务允许安卓设备使用NFC无线电波将图像、文件、视频甚至应用等数据发送到另一个在附近的设备,作为WiFi或蓝牙的替代。

  通常,通过NFC发送的应用(APK文件)存储在磁盘上,并会在屏幕上显示一个通知。通知消息会询问设备所有者是否允许NFC服务安装来自未知来源的应用。

  但是,今年1月,一位名叫Y. Shafranovich的安全研究员发现,在Android 8(Oreo)或更高版本上,通过NFC发送的应用不会显示这个提示信息。相反,该通知将允许用户轻点一下就可以安装应用,而无需任何安全警告。

  虽然缺少一个提示信息听起来并不重要,但这是安卓安全模型中的一个主要问题。安卓设备不允许安装来自“未知来源”的应用,因为任何从官方商店之外安装的应用都被认为是不可信和未经验证的。

  如果用户想在官方商店之外安装应用,他们必须访问安卓操作系统的“安装来自未知来源应用”部分,并启用该功能。

  在Android 8之前,这个“来自未知来源安装”选项是一个系统范围的设置,对所有应用都是一样的。但是,从Android 8开始,谷歌重新设计了这种机制,使其成为一种基于应用的设置。

  在最新的Android版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定的应用安装其他应用。

  CVE-2019-2114的错误在于,Android Beam应用也被列入了白名单,获得了与官方应用同样程度的信任。

  谷歌表示,这并不是有意为之,因为Android Beam服务从来就不是用来安装应用的,而仅仅是用来在设备之间传输数据的。

  2019年10月发布的安卓补丁将Android Beam服务从可信来源的安卓操作系统白名单中移除。

  然而,仍有数百万用户面临风险。如果用户启用了NFC服务和Android Beam服务,附近的攻击者可能会在他们的手机上植入恶意软件。

  由于没有提示来自未知来源的安装,点击通知将启动恶意应用的安装。有一种危险是,许多用户可能误解消息来自官方,并安装应用,误认为它是一个更新。

  如何保护自己?

  有好消息,也有坏消息。坏消息是,几乎所有新出售的设备都默认启用了NFC功能。更可怕的是,许多安卓智能手机用户甚至可能都没有意识到自己的NFC已经启用。

  好消息是,只有当两个设备相距4厘米或更小时,才会启动NFC连接。这意味着攻击者需要让他的手机非常接近受害者的手机,这一点对于恶意软件植入者来说并不简单。

  为了安全起见,任何用户都最好禁用NFC功能和Android Beam服务。

  如果使用安卓手机作为访问卡,或者作为非接触式支付解决方案,可以让NFC保持启用状态,但需要禁用Android Beam服务。这会阻止NFC文件发送,但仍允许其他NFC操作。

  所以,没有必要恐慌。如果你不需要Android Beam和NFC,就禁用它们,或者更新你的手机以接收2019年10月的安全更新,并继续像之前一样使用NFC和Beam。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:猎云网

本文评论
只要3秒,玄讯AI即可实现智能端架管理!
屈臣氏一年有24期常规活动促销活动,形式非常独有,与其他零售店完全不一样。“自有品牌商品免...
日期:11-28
赛诺发布输入法年度创新报告 讯飞输入法语音创新力居首
引言:
  在信息高速发达的时代,产品愈来愈趋于同质化,创新所带来的活力对企业的影响毋庸...
日期:11-27
联想5G+8K解决方案亮相世界5G大会 智能创新落地行业应用
11月20-23日,以“5G改变世界 5G创造未来”为主题的首届世界5G大会在京召开。此次大会集...
日期:11-26
ITU“扩容”5G毫米波频段,我国毫米波进程有望大提速
11月26日消息 5G的毫米波频谱之争终于可以暂告一段落。ITU最终为5G毫米波频段“扩容”,...
日期:11-26
瞄准天地一体化:中国卫星通信与5G融合探索
5G在今年已经正式商用。几乎在5G推进商用的同期,卫星通信行业取得了重要突破,从国外“硅谷钢...
日期:11-26
高层为区块链技术定调,谁能把握住新一轮发展先机?
10月24日,中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习,区块链技术的集成应用...
日期:11-26
全球IPv4地址正式耗尽!
11月26日消息 长期以来,全球IPv4地址耗尽令人担忧,今天这一时刻终于来临——所有43亿个...
日期:11-26
世界5G大会:腾讯积极参与5G国际标准制定,展示多领域5G应用成果
5G承载着万物互联的使命,为经济增长带来了新的机会与动能。11月21日,由北京市政府、国家发展改革...
日期:11-25
百度大脑语音能力引擎论坛将在京启幕 聆听语音技术将发出怎样的AI强音?
生活工作中,我们总是和各种声音打交道,而声音也成为人们传情达意的重要媒介之一。你有想过,机器...
日期:11-25
云创大数据平台被多省大数据/云计算大赛采用
近日,山西、安徽、江西、上海等多省(市)相继采用了云创大数据的大数据实验平台和云计算实训平台作...
日期:11-25
被垃圾分类新规逼疯?不如试试AI先生李彦宏的小程序
还没弄明白“眼前的干到底是不是干,你说的湿又是哪种湿”的网友又要面临垃圾分类的新标...
日期:11-22
腾讯安全:数百家企业SQL数据库遭爆破 企业须注意防范
部分网友在设置密码时会有这样的习惯,在多个平台使用同样的密码,或仅使用数字字母单一字符,用个...
日期:11-22
北京移动发布全光网架构:9000+社区深度覆盖
11月22日,在2019世界5G大会之“5G+智慧城市高峰论坛”上,中国移动北京公司(以下简称&ld...
日期:11-22
NB-IoT市场涌现新蓝海 四川电信聚焦5G物联网生态打造行业新引擎
随着NB-IoT技术纳入5G候选技术,利用5G高速发展机遇,快速发展物联网NB-IoT业务,创新占领5G+物联网...
日期:11-22
SSL证书:都听我的,放不下手机的你必须知道!
当今时代
  手机与现代人之间可谓有着千丝万缕的联系
  不断点亮的屏幕
  离...
日期:11-22
足不出户畅享专业IT服务,thinkplus解决方案中心为产业园区企业送福利
11月21日,联想thinkplus解决方案中心北京站在北京中关村软件园的尚东数字谷盛大开业,这是继今年这...
日期:11-21
中国联通电信加速5G共建共享:有望扩展到2.1GHz频段
在今天召开的“2019未来信息通信技术国际研讨会”上,中国联通网络运维部总经理马红兵表...
日期:11-21
2019中国私有云权威报告发布 华云数据在领导者象限持续攀升
2019年11月,国家工业信息安全发展研究中心、中国权威 ICT 研究咨询机构计世资讯《2018-2019年中国...
日期:11-21
“全民刷脸”时代,你的脸安全吗?
刷脸支付、刷脸安检、刷脸取快递、刷脸住酒店……人脸识别正在替代钥匙、公交卡、身份...
日期:11-21
泰比特河道采砂执法监管系统,有效促进砂石资源管理工作
很少有人知道或者关注采砂。
  中国每年开采的砂石多达500亿吨,以满足建筑和土地复垦日益增...
日期:11-21
  专栏介绍
半斤 的专栏
半斤发表的文章
积分:
自我介绍 :