Een beveiligingslek in Android maakte het mogelijk voor aanvallers om toestellen via NFC-beaming met malware te infecteren. Google kwam in oktober met een update voor de kwetsbaarheid, die als "high" is beoordeeld. Het probleem speelt bij telefoons met Android 8 Oreo en nieuwer die NFC ondersteunen.
Bij Androidversies voor Oreo konden gebruikers het installeren van apps afkomstig van onbetrouwbare bronnen voor het gehele systeem in- of uitschakelen. Vanaf Oreo is het mogelijk om per app die al op het systeem staat, bijvoorbeeld de browser of e-mailclient, de installatie van onbekende apps in te stellen. Dit blijkt een beveiligingsrisico te zijn in combinatie met een andere feature genaamd Android Beam. Deze functie maakt gebruik van NFC en kan worden gebruikt voor het uitwisselen van data tussen twee toestellen, waaronder de installatie van apps.
Gebruikers moeten vanaf Android Oreo per app instellen of het installeren van onbekende apps is toegestaan. Door Google geïnstalleerde systeemapplicaties staan echter standaard op een whitelist en zullen de gebruiker niet om deze permissie vragen. Eén van deze systeemapplicaties is de NFC-service die zodoende de permissie heeft om andere applicaties te installeren.
"Dit houdt in dat een Androidtelefoon waar NFC en Android Beam staat ingeschakeld bij het aanraken van een kwaadaardige telefoon of NFC-betaalautomaat met malware besmet kan raken, waarbij de melding om onbekende apps te installeren wordt omzeild", zegt securitybedrijf Nightwatch Cybersecurity.
De kwetsbaarheid (CVE-2019-2114) werd op 30 januari aan Google gerapporteerd. Vorige maand kwam Google met een update voor het probleem en beloonde het securitybedrijf voor de melding ervan. Het beveiligingslek is verholpen vanaf patchniveau 2019-10-01 of nieuwer. Androidgebruikers die de update nog niet hebben ontvangen of niet zullen krijgen kunnen de permissie van NFC voor het installeren van onbekende apps uitschakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.