Google не планирует исправлять уязвимость NFC в Android 7, 8 и 9

Google не планирует исправлять уязвимость NFC в Android 7, 8 и 9

Уязвимость содержится в приложении Tags, предварительно установленном в операционной системе Android.

Команда исследователей из Checkmarx Security Research обнаружили уязвимость, затрагивающую ОС Android версий 7, 8 и 9. Уязвимость содержится в предустановленном приложении Tags, предназначенном для считывания тегов Near Field Communication (NFC), анализа и отправки результатов соответствующим приложениям.

Уязвимость (CVE-2019-9295) позволяет любому неавторизованному приложению обманывать Tags для имитации нового тега NFC, что может быть использовано злоумышленниками в рамках атак. Для эксплуатации уязвимости необходимо также взаимодействие с пользователем.

Специалисты описали несколько сценариев атаки. Первый предполагает реализацию всплывающего окна, побуждающего пользователя просканировать новый NFC тег (сгенерированный вредоносным приложением). Пользователю потребуется взаимодействовать с данным окном для выбора соответствующего приложения. Когда пользователь попытается прочитать тег NFC, вредоносное приложение считает его, изменит содержимое и затем вызовет средство просмотра тегов Android по умолчанию, при этом пользователь ничего не заподозрит.

Во втором сценарии пользователь сканирует настоящее приложение, что позволит вредоносной программе перехватить и изменить содержимое тега до его обработки соответствующим приложением операционной системы. К примеру, в процессе сканирования пользователем ярлыка компании с номером телефона, неавторизованное приложение может изменить данный номер, не вызывая подозрений жертвы.

Оба сценария требуют перехода пользователя по ссылке, переадресовывающей на подконтрольную злоумышленникам страницу с неправильным номером или другими данными, которые могут быть встроены в NFC-теги.

Компания Google исправила данную проблему в Android 10, однако предыдущие версии ОС все еще остаются уязвимыми. Пользователям настоятельно рекомендуется обновиться до последней версии ОС.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!