На смартфоны под управлением Android 8.0 (Oreo) или более поздней версии повлияла ошибка, отслеживаемая как CVE-2019-2114, которая позволяет хакерам незаметно размещать вредоносное ПО на соседних устройствах с помощью NFC-передачи, - передает Techworm.
Исследователь безопасности Ю. Шафранович обнаружил, что APK-файлы, отправленные через NFC на Android, не проходят проверку служб безопасности. Вместо этого, установить приложение из неизвестного источника можно всего одним нажатием, без запроса какого-либо явного разрешения СБ. Обычно Google отображает предупреждение при установке приложений из неизвестных источников, поскольку любое приложение, скаченное за пределами официального Play Store, считается ненадежным и непроверенным. Однако некоторые службы, такие как Google Chrome и Android-приложение Dropbox, получают такой же уровень доверия, как и официальное приложение Play Store, и могут быть загружены без блокировки.
Ошибка CVE-2019-2114 заключается в том, что Google внесла в белый список функцию NFC Beaming, что само по себе - небезопасно. Согласно Google, сервис Android Beam предназначался для передачи данных с устройства на устройство, а не для установки приложений. Однако, миллионы пользователей Android, у которых включена служба NFC и служба Android Beam, находятся под угрозой, поскольку находящийся поблизости злоумышленник может использовать уязвимость защиты для установки вредоносных программ на телефоны.
На данный момент проблема устранена, необходимо только обновить версию Android.