Bug di Android (già risolto) permette di installare malware via NFC

Bug di Android (già risolto) permette di installare malware via NFC

La possibilità è remota, ma il rischio è comunque da tenere in considerazione: se l'aggiornamento di sicurezza non è ancora disponibile, è consigliabile disattivare NFC e Android Beam da Oreo in poi

di pubblicata il , alle 13:21 nel canale Telefonia
Android
 

Durante il mese di ottobre Google ha rilasciato una patch di sicurezza per eliminare un bug di Android che permetteva di diffondere e installare malware tramite una funzionalità poco conosciuta del sistema operativo, chiamata Android Beam e che sfrutta la tecnologia NFC.

Come riporta ZDnet, Android Beam, un servizio interno del sistema operativo, permette al dispositivo di inviare dati e contenuti (documenti, immagini, file, video e anche app) ad un altro dispositivo nelle vicinanze sfruttando appunto la tecnologia NFC, come alternativa ai più conosciuti metodi che si basano su WiFi e Bluetooth.

Normalmente le app (file .apk) inviate tramite NFC beaming sono conservate nello storage locale del dispositivo: all'utente viene mostrata a schermo una notifica che chiede se si voglia consentire al servizio NFC di installare un'app da una fonte non fidata. Lo scorso mese di gennaio un ricercatore di sicurezza ha però scoperto che a partire da Android 8 (Oreo) e versioni successive la notifica chiede semplicemente se si voglia installare l'app senza alcun avvertimento di sicurezza aggiuntivo.

Il bug, classificato come CVE-2019-2114, sta nel fatto che la app Android Beam risultava inserita nella whitelist di applicazioni ritenute "fidate": in altri termini disponeva dello stesso livello di trust del Google Play Store. Google ha spiegato che ciò non sarebbe dovuto accadere, anche perché il servizio Android Beam non è mai stato pensato come un modo per installare applicazioni, ma un semplice strumento per il trasferimento di file da dispositivo a dispositivo. Le patch diffuse ad ottobre hanno rimosso Android Beam dalla whitelist delle fonti affidabili.

Considerando però il disinteresse diffuso nel mantenere il proprio dispositivo aggiornato, soprattutto tra gli utenti meno attenti al tema della sicurezza o in generale al mondo della tecnologia, e aggiungendo a ciò il discutibile sistema di roll-out degli aggiornamenti Android, anche quelli di sicurezza, che vengono demandati al singolo produttore dello specifco modello di smartphone, è verosimile supporre che milioni di dispositivi siano ancora vulnerabili: chi è in possesso di uno smartphone Android con tecnologia NFC attiva e servizio Android Beam abilitato corre il rischio di installare distrattamente un malware sul proprio telefono inviato da un malintenzionato nelle vicinanze.

E' bene ricordare che le connessioni NFC si attivano solamente quando due dispositivi sono posti ad una distanza di al massimo 4 centimetri: ciò significa che un attaccante dovrebbe posizionare il proprio telefono molto vicino a quello della vittima, cosa non sempre possibile. E' tuttavia un'eventualità verosimile in luoghi particolarmente affollati, o per esempio nei mezzi di trasporto pubblici durante l'ora di punta.

Il consiglio, per coloro i quali non possono ancora entrare in possesso degli aggiornamenti di sicurezza del mese di ottobre 2019, è di disattivare NFC e servizio Android Beam, soprattutto se non ne hanno effettiva necessità.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nickmot06 Novembre 2019, 15:12 #1
Il consiglio, per coloro i quali non possono ancora entrare in possesso degli aggiornamenti di sicurezza del mese di ottobre 2019, è di disattivare NFC e servizio Android Beam, soprattutto se non ne hanno effettiva necessità.


Ehm...
Ma prendete in giro l'utenza?
La percentuale di utenti android che ha già a disposizione quell'aggiornamento è infinitesimale.
La percentuale di utenti che li riceverà resta comunque bassa.
Altro che già risolto! Questo resta aperto finché non si cambia telefono per la maggior parte degli utenti!
canislupus06 Novembre 2019, 16:01 #2
Originariamente inviato da: nickmot
Ehm...
Ma prendete in giro l'utenza?
La percentuale di utenti android che ha già a disposizione quell'aggiornamento è infinitesimale.
La percentuale di utenti che li riceverà resta comunque bassa.
Altro che già risolto! Questo resta aperto finché non si cambia telefono per la maggior parte degli utenti!


Non devo difendere Android (pur avendolo), ma vogliamo seriamente vedere la percentuale di persone che usano l'NFC?
Hai letto questa parte della news?

E' bene ricordare che le connessioni NFC si attivano solamente quando due dispositivi sono posti ad una distanza di al massimo 4 centimetri


Cioè tu vedi un perfetto sconosciuto che ti poggia il suo cellulare sul tuo e ovviamente lo lasci fare perchè è la cosa più normale del mondo...

@Redazione

E' tuttavia un'eventualità verosimile in luoghi particolarmente affollati, o per esempio nei mezzi di trasporto pubblici durante l'ora di punta.


Questa me la dovete spiegare
Va bene che i mezzi pubblici spesso sono delle scatole di sardine, ma 4 centimetri significa che il cellulare deve essere attaccato ad un altro.
gd350turbo06 Novembre 2019, 16:27 #3
Originariamente inviato da: nickmot
Ehm...
Ma prendete in giro l'utenza?
La percentuale di utenti android che ha già a disposizione quell'aggiornamento è infinitesimale.

Io ce l'ho...
Originariamente inviato da: nickmot
La percentuale di utenti che li riceverà resta comunque bassa.
Altro che già risolto! Questo resta aperto finché non si cambia telefono per la maggior parte degli utenti!

per essere attaccati devono:
1) Non avere le patch di sicurezza
2) Avere nfc attivo
3) Avere uno sconosciuto che ti appoggia il suo telefono sopra il tuo

Questa si che è una percentuale infinitesimale !
3nric006 Novembre 2019, 16:52 #4
Originariamente inviato da: gd350turbo
Io ce l'ho...

per essere attaccati devono:
1) Non avere le patch di sicurezza
2) Avere nfc attivo
3) Avere uno sconosciuto che ti appoggia il suo telefono sopra il tuo

Questa si che è una percentuale infinitesimale !


aggiungerei avere lo schermo sbloccato
zappy06 Novembre 2019, 18:05 #5
Originariamente inviato da: gd350turbo
Io ce l'ho...
per essere attaccati devono:
1) Non avere le patch di sicurezza
2) Avere nfc attivo
3) Avere uno sconosciuto che ti appoggia il suo telefono sopra il tuo
Questa si che è una percentuale infinitesimale !

dimentichi
4) confermare che vuoi installare l'applicazione sconosciuta.
non è infinitesimale, è praticamente inesistente (deficienti a parte)
aqua8406 Novembre 2019, 18:10 #6
già sono pochissimi quelli che Hanno l'NFC nel telefono, meno ancora quelli che lo tengono poi attivo.
solo quelle due cose riducono il rischio a zero praticamente.

a questo punto è molto piu pericoloso il Contactless delle carte di credito/debito
zappy06 Novembre 2019, 18:26 #7
Originariamente inviato da: aqua84
...a questo punto è molto piu pericoloso il Contactless delle carte di credito/debito

poco ma sicuro!
nickmot07 Novembre 2019, 12:32 #8
Originariamente inviato da: gd350turbo
Io ce l'ho...

Non funziona così la statistica.

Originariamente inviato da: gd350turbo
per essere attaccati devono:
1) Non avere le patch di sicurezza
2) Avere nfc attivo
3) Avere uno sconosciuto che ti appoggia il suo telefono sopra il tuo

Questa si che è una percentuale infinitesimale !

Che l'attacco sia marginalmente pericoloso non lo discuto, contestavo l'aver scritto "(già risolto)" nel titolo, quando nel mondo android non funziona proprio così, perché il fatto che google abbia fixato il bug non significa che il fix abbia realmente raggiunto i dispositivi degli utenti, anzi...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^