Biznes i Finanse
Android naprawia lukę. Płatności bezdotykowe NFC znowu bezpieczne?
Luka systemu Android pozwalała na ataki hakerskie z użyciem mechanizmu służącego do obsługi płatności bezdotykowych NFC, opartego na usłudze systemowej Android Beam - podał serwis ZDNet. Podatność została w październiku naprawiona przez firmę Google.
Luka pozwalała na zainstalowanie za pośrednictwem NFC złośliwego oprogramowania, co mogło zostać przeprowadzone bez żadnego ostrzeżenia dla użytkownika telefonu. Podatność dotyczyła urządzeń działających w oparciu o system Android 8 (Oreo) i późniejsze jego wersje.
NFC pozwala na przesyłanie danych za pomocą fal radiowych, co stanowi rozwiązanie alternatywne dla łączności Bluetooth czy WiFi. Można w ten sposób transmitować m.in. pliki obrazów, dźwięki, nagrania wideo, a nawet oprogramowanie. Powszechnie NFC wykorzystywane jest do obsługi płatności zbliżeniowych.
W przypadku przesyłania danych z użyciem tego modułu aplikacji (zapisywanych w formacie APK) są one przechowywane w przestrzeni dyskowej telefonu, na ekranie wyświetla się natomiast powiadomienie o pobraniu oprogramowania wraz z pytaniem o pozwolenie na instalację aplikacji z zewnętrznego źródła. Podatność Androida, którą mogli wykorzystać do ataku cyberprzestępcy sprawiała natomiast, że komunikaty te nie były wyświetlane, a oprogramowanie z niezaufanego źródła można było zainstalować na urządzeniu za jednym dotknięciem.
Serwis ZDNet zwraca uwagę, że luki tego rodzaju to poważne zagrożenie dla bezpieczeństwa Androida, gdyż pozwalają one na instalowanie oprogramowania nieznanego pochodzenia. Tymczasem jedynym oficjalnym źródłem aplikacji na telefony z tym systemem operacyjnym pozostaje sklep Play Store Google'a.
Podatność, która mogła prowadzić do instalacji oprogramowania hakerskiego znajdowała się w usłudze systemowej Android Beam, co sprawia, że aplikacje pochodzące z instalacji poprzez to źródło zyskiwały automatycznie taki sam poziom zaufania od systemu jak oprogramowanie z Google Play.
Aktualizacja wydana przez Google w październiku usunęła NFC ze źródeł zaufanych instalacji. Serwis ZDNet wskazuje jednak, że nie oznacza to, iż niebezpieczeństwo wykorzystania NFC przez hakerów zniknęło i zaleca wyłączenie funkcji NFC oraz usługi Android Beam w telefonie, o ile nie jest aktywnie wykorzystywana np. do dokonywania płatności.
Haertle: Każdego da się zhakować
Materiał sponsorowany