Новости Software

Уязвимость Android позволяла злоумышленникам внедрять вредоносное ПО через NFC

По сообщениям сетевых источников, разработчики Google устранили уязвимость Android, которая могла использоваться злоумышленниками для распространения вредоносного программного обеспечения на Android-устройства, находящиеся поблизости. Для этого могла применяться малоизвестная функция программной платформы, которая называется NFC beaming. Проблема затрагивала все устройства на базе Android Oreo и более поздних версий.

Функция NFC работает на основе внутреннего сервиса операционной системы, который называется Android Beam. Этот сервис позволяет отправлять разные данные, в том числе изображения, видео, другие файлы и даже приложения с одного Android-устройства на другое.

Передаваемые по NFC APK-файлы приложений сохраняются в памяти внутреннего накопителя устройства, а на дисплее при этом появляется соответствующий запрос на разрешение установки ПО из неизвестного источника. В начале этого года было обнаружено, что при отправке приложений по NFC на устройства с Android Oreo или более поздней версией ОС данное уведомление не появляется. Вместо этого выводится сообщение, позволяющее пользователю одним нажатием установить программу, но не напоминающее о возможной опасности.

Хотя этот недочёт не выглядит серьёзным, он представлял собой заметную проблему в модели безопасности Android. Устройствам, работающим на базе Android, по умолчанию не разрешается устанавливать приложения из «неизвестных источников». Если пользователь хочет установить ПО, скачанное не в официальном магазине контента Play Store, он должен активировать соответствующую опцию в настройках безопасности.

Ошибка CVE-2019-2114, о которой идёт речь, заключалась в том, что сервис Android Beam был занесён в белый список, за счёт чего он получал уровень доверия, как у официальных приложений из Play Store. В компании объяснили, что этого не должно было случиться, поскольку сервис никогда не предназначался для установки приложений. Ошибка была исправлена в октябрьском пакете обновлений для операционной системы Android.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥