ZDNet 报道称，近期曝光的一个 Android 漏洞，导致黑客能够利用设备上的近场接触（NFC）功能，向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出，问题源自一项鲜为人知的 Android OS 功能，它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备，都会受到影响。

据悉，NFC 广播通过设备内部的 Android OS 服务（Android Beam）来工作。

（截图 via ZDNet）

这项服务允许 Android 设备使用近场通讯（NFC）技术来替代 Wi-Fi 或蓝牙，将图像、文件、视频、甚至应用程序，发送到另一台设备上。

通常情况下，通过 NFC 传输的 APK 安装包会存储在设备上，并在屏幕上显示相关通知，询问用户是否允许安装未知来源的应用程序。

然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人员发现：在 Android 8（Oreo）或更高版本的系统上通过 NFC 广播来发送应用程序，并不会显示这一提示。

相反，该通知允许用户一键安装应用程序，而不发出任何安全警告。

尽管缺少一个提示，听起来似乎并不那么重要，但它还是成为了 Android 安全模型中的一个重大问题。

庆幸的是，谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。

“未知来源”的定义，特指通过官方 Play 商店之外安装的任何东西，其默认都被视为不受信任和未经验证。

若用户需要侧载外部应用，必须前往设置菜单，然后手动启用“允许从未知来源安装应用”。

Android 8 Oreo 之前，这项设置并没有什么问题。然而从 Android 8 Oreo 开始，谷歌将这种机制重新设计为基于 App 的设置。

在 CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名单，获得了与官方 Play 应用商店相同的信任权限。

谷歌表示，Android Beam 服务从来就不是安装应用程序的一种方式，而仅仅是一种在设备之间传输数据的方式。

即便如此，该公司还是在 2019 年 10 月的 Android 安全补丁中，将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。

（图自：LG）

对于数百万仍处于危险之中的 Android 用户，我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。

（稿源：cnBeta，封面源自 *** 。）