Bug di Android (già risolto) permette di installare malware via NFC

Durante il mese di ottobre Google ha rilasciato una patch di sicurezza per eliminare un bug di Android che permetteva di diffondere e installare malware tramite una funzionalità poco conosciuta del sistema operativo, chiamata Android Beam e che sfrutta la tecnologia NFC.

Come riporta ZDnet, Android Beam, un servizio interno del sistema operativo, permette al dispositivo di inviare dati e contenuti (documenti, immagini, file, video e anche app) ad un altro dispositivo nelle vicinanze sfruttando appunto la tecnologia NFC, come alternativa ai più conosciuti metodi che si basano su WiFi e Bluetooth.

Normalmente le app (file .apk) inviate tramite NFC beaming sono conservate nello storage locale del dispositivo: all'utente viene mostrata a schermo una notifica che chiede se si voglia consentire al servizio NFC di installare un'app da una fonte non fidata. Lo scorso mese di gennaio un ricercatore di sicurezza ha però scoperto che a partire da Android 8 (Oreo) e versioni successive la notifica chiede semplicemente se si voglia installare l'app senza alcun avvertimento di sicurezza aggiuntivo.

Il bug, classificato come CVE-2019-2114, sta nel fatto che la app Android Beam risultava inserita nella whitelist di applicazioni ritenute "fidate": in altri termini disponeva dello stesso livello di trust del Google Play Store. Google ha spiegato che ciò non sarebbe dovuto accadere, anche perché il servizio Android Beam non è mai stato pensato come un modo per installare applicazioni, ma un semplice strumento per il trasferimento di file da dispositivo a dispositivo. Le patch diffuse ad ottobre hanno rimosso Android Beam dalla whitelist delle fonti affidabili.

Considerando però il disinteresse diffuso nel mantenere il proprio dispositivo aggiornato, soprattutto tra gli utenti meno attenti al tema della sicurezza o in generale al mondo della tecnologia, e aggiungendo a ciò il discutibile sistema di roll-out degli aggiornamenti Android, anche quelli di sicurezza, che vengono demandati al singolo produttore dello specifco modello di smartphone, è verosimile supporre che milioni di dispositivi siano ancora vulnerabili: chi è in possesso di uno smartphone Android con tecnologia NFC attiva e servizio Android Beam abilitato corre il rischio di installare distrattamente un malware sul proprio telefono inviato da un malintenzionato nelle vicinanze.

E' bene ricordare che le connessioni NFC si attivano solamente quando due dispositivi sono posti ad una distanza di al massimo 4 centimetri: ciò significa che un attaccante dovrebbe posizionare il proprio telefono molto vicino a quello della vittima, cosa non sempre possibile. E' tuttavia un'eventualità verosimile in luoghi particolarmente affollati, o per esempio nei mezzi di trasporto pubblici durante l'ora di punta.

Il consiglio, per coloro i quali non possono ancora entrare in possesso degli aggiornamenti di sicurezza del mese di ottobre 2019, è di disattivare NFC e servizio Android Beam, soprattutto se non ne hanno effettiva necessità.