黑客利用Android的NFC漏洞，就能在手机上植入恶意程序

安全顾问团队NightWatch Cybersecurity日前警告，Android 8（Oreo）以后的版本含有一个近场通信（NFC）漏洞，将允许附近的黑客于Android手机上植入恶意程序。

Google已经在今年10月修补了该编号为CVE-2019-2114的安全漏洞，但只把它列为高风险（High）漏洞，也未说明漏洞细节，它攸关NFC功能的默认权限，将允许黑客绕过与用户之间的某些交互，提高安装恶意程序的机会。

NightWatch Cybersecurity说明，在Android 8之前的操作系统有一个设置，激活后将允许用户自Google Play以外的来源安装任何程序，但Google于Android 8变更了该政策，要求每个程序都必须取得用户的同意，才能安装不明来源的程序，只是该政策有些例外，让某些内置的系统程序自动被列入白名单，不需征求用户同意就能自任何来源安装程序，例如Drive或NFC Service。

这意味着假设用户的手机支持NFC，而且激活了可让两支Android手机互相交换数据的Android Beam功能，那么黑客就能借由Android Beam发送一个APK到附近的Android设备上，受害者只要按下接收完成（Beam completed）的通知，再点击所收到的文件，那么文件就会自动安装，不会再显示“是否安装不明程序”的警告。

假设Android用户无法安装10月更新，也可以简单地关闭Android Beam功能或是把Android Beam自白名单中移除即可。