Android爆NFC漏洞會自動安裝不明程序　即睇原因同預防方法

每當人們出入小區門禁或乘坐公交地鐵時，使用帶有NFC（近場通信，Near Field Communication）功能的手機即可快速刷卡通過，為大家的生活出行帶來了極大便利。可是近日安全研究人員卻發現，Android 8（Oreo）版本以後的操作系統卻存在著一個高風險NFC漏洞，能讓附近的惡意攻擊者在Android手機上植入惡意程序。

據研究人員表示，在Android 8之前的操作系統有一個設定，啟用後將允許使用者從Google Play商店以外的平台來安裝任意程序。不過Google在Android 8及後續版本上則改變了該策略，要求每個程序都必須取得使用者的同意，才能安裝不明來源的程序。

可是該策略也有例外，如果讓某些內置系統程序自動被列入白名單，就無需徵求使用者同意就能從任何來源安裝程序，例如Drive或NFC Service。

這意味著假設使用者的手機支持NFC，而且啟用了可讓兩台Android手機互相交換數據的Android Beam功能，那麼攻擊者就能通過Android Beam傳送一個APK到附近的Android設備上。中招者只要不小心點選了接收完成（Beam completed）的通知，再點擊所收到的文件，那麼該文件就會自動安裝，而不會顯示“是否安裝不明程序”的警告，引發攻擊威脅。

所幸Google已經在今年10月修補了此一編號為CVE-2019-2114的安全漏洞，並將其列為高風險漏洞，但並未說明漏洞細節。實際上該漏洞涉及到NFC功能的預設權限，可允許駭客繞過與使用者之間的某些互動，提高惡意程序的安裝機率。

為了避免受到此NFC漏洞影響，尚未安裝10月更新的Android用戶，也可以簡單地關閉Android Beam功能或是把Android Beam自白名單中刪除即可。

▼▼▼相關閱讀：Android爆安全威脅！21個Apps有惡意程式，即check有無中招▼▼▼

【本文獲「中關村在線」授權轉載。】