Problem dotyczy mało znanej funkcji przesyłania strumieniowego danych poprzez NFC, obsługiwanego przez usługę o nazwie Android Beam (Android Q już z niej nie korzysta). Za jej sprawą możliwe jest przesyłanie danych takich jak zdjęcia, filmy i aplikacje za pośrednictwem NFC do innego urządzenia z systemem Android, które znajduje się w pobliżu. To znacznie wygodniejsza i szybsza metoda transferu danych, niż wykorzystujące Bluetooth lub Wi-Fi.
Jeśli poprzez NFC beaming wysyłany jest plik APK, to osoba odbierająca plik jest pytana czy chce zainstalować go na swoim urządzeniu. W styczniu tego roku ekspert ds. bezpieczeństwa Y. Shafranovich odkrył jednak, że aplikacje wysyłane w ten sposób pomiędzy urządzeniami z systemem Android 8 lub nowszym mogą nie wywoływać tego komunikatu i być instalowane od razu po wyrażeniu zgody na ich odebranie. To ogromne niedopatrzenie ze strony Google, bowiem wszystkie aplikacje z nieznanych źródeł powinny wyświetlać tego rodzaju komunikat przed zainicjowaniem procesu instalacji. Ba, zwyczajowo wymagane jest zaznaczenie specjalnej opcji w menu, aby w ogóle umożliwić tego rodzaju działanie – luka pozwala zupełnie ominąć zabezpieczenie.
Google podało, że Android Beam nigdy nie powinien umożliwiać automatycznego instalowania aplikacji. Firma udostępniła stosowną aktualizację w ubiegłym miesiącu – w październiku, która wyłącza usługę Android Beam z usług zaufanych, które mogą obchodzić tego rodzaju zabezpieczenia. Przekazywanie poprawek konsumentom leży jednak po stronie poszczególnych producentów smartfonów. Jeśli od dłuższego czasu Wasz smartfon lub tablet nie dostały żadnej aktualizacji, to znaczy, że wciąż jesteście narażeni na tego rodzaju atak.
Są też dobre wieści: zasięg NFC jest niewielki i wynosi maksymalnie 5 centymetrów. Napastnik musiałby umieścić swoje urządzenie naprawdę blisko, by przeprowadzić skuteczny atak. Realnie, możecie co najwyżej paść ofiarą świadomego działania złośliwego znajomego.
Źródło: NightWatchCybersecurity