Google ha corretto il mese scorso un bug Android che può consentire agli hacker di diffondere malware su un telefono vicino tramite una funzione del sistema operativo Android poco nota chiamata NFC.
La trasmissione NFC funziona tramite un servizio OS Android interno noto come Android Beam. Questo servizio consente a un dispositivo Android di inviare dati come immagini, file, video o persino app a un altro dispositivo vicino utilizzando le onde radio NFC (Near-Field Communication), in alternativa a WiFi o Bluetooth.
In genere, le app (file APK) inviate tramite la trasmissione NFC vengono archiviate sul disco e sullo schermo viene visualizzata una notifica. La notifica chiede al proprietario del dispositivo se desidera consentire al servizio NFC di installare un'app da una fonte sconosciuta.
Ma, nel gennaio di quest'anno, un ricercatore di sicurezza di nome Y. Shafranovich ha scoperto che le app inviate tramite NFC su Android 8 (Oreo) o versioni successive non avrebbero mostrato questo messaggio. Invece, la notifica consentirebbe all'utente di installare l'app con un solo tocco, senza alcun avviso di sicurezza.
Mentre la mancanza di un prompt sembra non importante, questo è un grosso problema nel modello di sicurezza di Android. I dispositivi Android non possono installare app da "fonti sconosciute", poiché qualsiasi cosa installata al di fuori del Play Store ufficiale è considerata non attendibile e non verificata.
Se gli utenti desiderano installare un'app all'esterno del Play Store, devono visitare la sezione "Installa app da fonti sconosciute" del proprio sistema operativo Android e abilitare la funzione.
Fino ad Android 8, questa opzione "Installa da fonti sconosciute" era un'impostazione a livello di sistema, la stessa per tutte le app. Ma, a partire da Android 8, Google ha riprogettato questo meccanismo in un'impostazione basata su app.
Nelle moderne versioni di Android, gli utenti possono visitare la sezione "Installa app sconosciute" nelle impostazioni di sicurezza di Android e consentire ad app specifiche di installare altre app.
Il bug CVE-2019-2114 risiedeva nel fatto che l'app Android Beam era anche autorizzata, ricevendo lo stesso livello di fiducia dell'app Play Store ufficiale.
Google ha affermato che ciò non doveva accadere, in quanto il servizio Android Beam non è mai stato inteso come un modo per installare applicazioni, ma semplicemente come un modo per trasferire dati da un dispositivo all'altro.
Le patch Android di ottobre 2019 hanno rimosso il servizio Android Beam dalla whitelist del sistema operativo di origini attendibili.
Tuttavia, molti milioni di utenti rimangono a rischio. Se gli utenti dispongono del servizio NFC e del servizio Android Beam abilitato, un utente malintenzionato nelle vicinanze potrebbe impiantare malware (app dannose) sui propri telefoni.
Poiché non è richiesta l'installazione di una fonte sconosciuta, toccando la notifica si avvia l'installazione dell'app dannosa. Esiste il pericolo che molti utenti possano interpretare erroneamente il messaggio come proveniente dal Play Store e installare l'app, pensando che sia un aggiornamento.
Ci sono buone e cattive notizie. La cattiva notizia è che la funzionalità NFC è abilitata per impostazione predefinita su quasi tutti i dispositivi appena venduti. Molti proprietari di smartphone Android potrebbero non essere nemmeno consapevoli che NFC è abilitato anche in questo momento.
La buona notizia è che le connessioni NFC vengono avviate solo quando due dispositivi vengono posizionati uno vicino all'altro a una distanza di 4 cm (1,5 pollici) o inferiore. Ciò significa che un utente malintenzionato deve avvicinare il telefono a quello di una vittima, cosa che potrebbe non essere sempre possibile.
Per sicurezza, qualsiasi utente può disabilitare sia la funzionalità NFC sia il servizio Android Beam.
Se usano i loro telefoni Android come carte di accesso o come soluzioni di pagamento senza contatto, possono lasciare abilitato NFC, ma disabilitare il servizio Android Beam. Questo blocca il trasferimento di file NFC, ma consente comunque altre operazioni NFC.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
