ZDNet報導稱，近期曝光的一個Android漏洞，導致黑客能夠利用設備上的近場接觸（NFC）功能，向受害者傳播植入惡意軟件。CVE-2019-2114漏洞報告指出，問題源自一項鮮為人知的Android OS功能，它就是NFC Beaming 。所有運行Android 8 Oreo及以上版本的設備，都會受到影響。

據悉，NFC廣播通過設備內部的Android OS服務（Android Beam）來工作。（截圖via ZDNet）

---

這項服務允許Android 設備使用近場通訊（NFC）技術來替代Wi-Fi 或藍牙，將圖像、文件、視頻、甚至應用程序，發送到另一台設備上。

通常情況下，通過NFC 傳輸的APK 安裝包會存儲在設備上，並在屏幕上顯示相關通知，詢問用戶是否允許安裝未知來源的應用程序。

然而今年1 月，一位名叫Y. Shafranovich 的安全研究人員發現：在Android 8（Oreo）或更高版本的系統上通過NFC 廣播來發送應用程序，並不會顯示這一提示。

相反，該通知允許用戶一鍵安裝應用程序，而不發出任何安全警告。

儘管缺少一個提示，聽起來似乎並不那麼重要，但它還是成為了Android 安全模型中的一個重大問題。

慶幸的是，谷歌已在2019 年10 月修復了這個影響Android 設備的NFC Beaming 漏洞。

“未知來源”的定義，特指通過官方Play 商店之外安裝的任何東西，其默認都被視為不受信任和未經驗證。

---

若用戶需要側載外部應用，必須前往設置菜單，然後手動啟用“允許從未知來源安裝應用”。

Android 8 Oreo 之前，這項設置並沒有什麼問題。然而從Android 8 Oreo 開始，谷歌將這種機制重新設計為基於App 的設置。

在CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名單，獲得了與官方Play 應用商店相同的信任權限。

谷歌表示，Android Beam 服務從來就不是安裝應用程序的一種方式，而僅僅是一種在設備之間傳輸數據的方式。

即便如此，該公司還是在2019 年10 月的Android 安全補丁中，將Android Beam 踢出了這款移動操作系統中的受信任來源列表。

（圖自：LG）

對於數百萬仍處於危險之中的Android用戶，我們在此建議大家盡快升級手機的安全補丁、或者盡量在不使用時關閉NFC和Android Beam功能。