使用Android手機的朋友要注意了,相信大家如果有使用過手機的一個方便的功能,在坐公車或捷運時用手機取代悠遊卡快速刷卡通過,或者使用方便的行動支付時,只要嗶一下就能輕鬆付費,這都是使用了NFC(近場通信,Near Field Communication)功能達成的。
可是近日安全研究人員卻發現,Android 8(Oreo)版本以後的操作系統卻存在著一個高風險NFC漏洞,能讓附近的惡意攻擊者在Android手機上植入惡意程序。Android 8之前版本可以調整一項設定就能安裝非Google Play的程式,Android 8之後版本改為每個程式都要使用者確認才能安裝,但某些內置程序卻被自動列為白名單,反而不用使用者同意就能自動安裝所有程式,例如NFC及Drive。
所以在透過NFC功能的Android Beam協定來傳送檔案時,使用者就可能會不小心安裝了非Google Play的程式 (惡意程式) 而不自知,也不會再顯示「是否安裝不明程式」的警告。
Google已經在今年10月修補了此一編號為CVE-2019-2114的安全漏洞(高風險),還未更新此漏洞的使用者也可以透過關閉Android Beam或NFC功能防止受到此漏洞影響。
詳文請見ithome 原文新聞稿