Android naprawia lukę. Płatności bezdotykowe NFC znowu bezpieczne?

5 listopada 2019, 13:50
Nfc_machine
fot. Emerson Alecrim / Wikimedia Commons

Luka systemu Android pozwalała na ataki hakerskie z użyciem mechanizmu służącego do obsługi płatności bezdotykowych NFC, opartego na usłudze systemowej Android Beam - podał serwis ZDNet. Podatność została w październiku naprawiona przez firmę Google.

Luka pozwalała na zainstalowanie za pośrednictwem NFC złośliwego oprogramowania, co mogło zostać przeprowadzone bez żadnego ostrzeżenia dla użytkownika telefonu. Podatność dotyczyła urządzeń działających w oparciu o system Android 8 (Oreo) i późniejsze jego wersje.

NFC pozwala na przesyłanie danych za pomocą fal radiowych, co stanowi rozwiązanie alternatywne dla łączności Bluetooth czy WiFi. Można w ten sposób transmitować m.in. pliki obrazów, dźwięki, nagrania wideo, a nawet oprogramowanie. Powszechnie NFC wykorzystywane jest do obsługi płatności zbliżeniowych.

W przypadku przesyłania danych z użyciem tego modułu aplikacji (zapisywanych w formacie APK) są one przechowywane w przestrzeni dyskowej telefonu, na ekranie wyświetla się natomiast powiadomienie o pobraniu oprogramowania wraz z pytaniem o pozwolenie na instalację aplikacji z zewnętrznego źródła. Podatność Androida, którą mogli wykorzystać do ataku cyberprzestępcy sprawiała natomiast, że komunikaty te nie były wyświetlane, a oprogramowanie z niezaufanego źródła można było zainstalować na urządzeniu za jednym dotknięciem.

Serwis ZDNet zwraca uwagę, że luki tego rodzaju to poważne zagrożenie dla bezpieczeństwa Androida, gdyż pozwalają one na instalowanie oprogramowania nieznanego pochodzenia. Tymczasem jedynym oficjalnym źródłem aplikacji na telefony z tym systemem operacyjnym pozostaje sklep Play Store Google'a.

Podatność, która mogła prowadzić do instalacji oprogramowania hakerskiego znajdowała się w usłudze systemowej Android Beam, co sprawia, że aplikacje pochodzące z instalacji poprzez to źródło zyskiwały automatycznie taki sam poziom zaufania od systemu jak oprogramowanie z Google Play.

Aktualizacja wydana przez Google w październiku usunęła NFC ze źródeł zaufanych instalacji. Serwis ZDNet wskazuje jednak, że nie oznacza to, iż niebezpieczeństwo wykorzystania NFC przez hakerów zniknęło i zaleca wyłączenie funkcji NFC oraz usługi Android Beam w telefonie, o ile nie jest aktywnie wykorzystywana np. do dokonywania płatności. 

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Reklama
Tweets CyberDefence24