Un bug di Android consente di infettare i dispositivi via NFC

Un bug di Android consente di infettare i dispositivi via NFC
di

Il ricercatore di sicurezza Yakov Shafranovich ha svelato un bug, corretto fortunatamente lo scorso mese da Google, che potrebbe consentire agli hacker di diffondere malware sugli smartphone e dispositivi Android attraverso l'NFC.

Secondo quanto affermato, il problema sarebbe da ricercare nel servizio "Andrea Beam", che gestisce l'invio di dati come immagini, file, video ed app ad un dispositivo nelle vicinanze utilizzando le onde radio NFC, che sono un'alternativa al WiFi o il Bluetooth.

I file .APK delle applicazioni inviati via NFC vengono archiviati sulla memoria interna del dispositivo e sullo schermo viene visualizzata una notifica, che chiede al proprietario del dispositivo se desidera procedere con l'installazione di un'app anche se proviene da una fonte sconosciuta.

E' proprio in questo frangente che si inserisce la scoperta di Shafranovich, il quale ha svelato che le app inviate tramite NFC su Android 8 Oreo e versioni successive non genererebbero il messaggio, consentendo di fatto agli utenti di installare l'app in pochi touch, senza alcun avviso di sicurezza.

E la mancanza di questo avviso rappresenta un problema di sicurezza importante in quanto le app da "fonti sconosciute" sono considerate non attendibili e non verificate, a meno che gli utenti non decidano di consentire l'installazione dalle impostazioni del dispositivo. Proprio con Android 8, Google ha cambiato l'approccio ed al posto di un'opzione unica per tutte le app, ha introdotto permessi singoli per le varie applicazioni da cui si effettuano i download: di fatto, gli utenti possono scegliere quali possono installare i file da fonti sconosciute e quali no.

Il bug presente in Android Beam garantiva al processo i massimi permessi per tutte le applicazioni. In questo modo bastava ricevere un file APK tramite NFC per procedere con l'installazione senza alcuna notifica.

Google ha corretto il problema con la patch di sicurezza di ottobre 2019, ma non tutti gli smartphone potrebbero averla ricevuta. Per questo motivo, ZDNET consiglia di disabilitare il processo Android Beam fin quando non si riceverà il pacchetto.

Quanto è interessante?
3