Gli esperti hanno sottolineato che un numero impressionante di dispositivi Android con NFC e i servizi Android Beam abilitati potrebbe essere compromesso
Google ha recentemente rilasciato una patch per risolvere una vulnerabilità (tracciata come CVE-2019-2114) che interessa i dispositivi sui cui è installato il sistema operativo Android 8 (Oreo), o versioni successive, che potrebbe essere sfruttata per infettare tramite connessioni NFC.
Per comprendere da cosa deriva la vulnerabilità è necessario spiegare alcuni concetti, come ad esempio la funzionalità Android Beam e la tecnologia NFC.
NFC, acronimo di near-field communication, è una tecnologia che fornisce connettività senza fili a breve distanza (10 centimetri), tramite NFC si possono quindi sincronizzare velocemente i dati tra due dispositivi.
La funzione Android Beam è disponibile nel framework Android NFC e consente agli utenti di trasferire file di grandi dimensioni tra dispositivi. La funzione implementa una semplice API e consente agli utenti di avviare il processo di trasferimento dei file semplicemente toccando i dispositivi, quindi nel trasferimento di file attraverso Android Beam ciascun file è copiato automaticamente da un dispositivo all’altro ed una volta completata l’operazione l’utente riceve una notifica.
Quando si trasferiscono i file APK (Google Android Package File), ovvero archivi contenenti tutti i file di un’app, tramite connessione NFC, questi sono memorizzati sul telefono e viene mostrata all’utente una notifica che chiede loro l’autorizzazione per consentire al servizio NFC di installare l’applicazione da una fonte sconosciuta.
All’inizio di quest’anno, l’esperto di sicurezza Y. Shafranovich scoperto che l’invio di file APK tramite NFC su Android 8 o versioni successive non mostrerebbe alcun avviso di sicurezza agli utenti. Il ricercatore ha notato che la notifica avrebbe addirittura consentito all’utente di installare l’app con un solo tocco.
Questo comportamento deriva dalla possibilità di consentire ad applicazioni specifiche di installare altre app nella versione più recente del sistema operativo Android. In particolare. la funzione Android Beam nelle più recenti versioni del sistema operativo Android ha lo stesso livello di affidabilità ed i medesimi permessi del Play Store ufficiale, ciò significa che potrebbe consentire l’installazione di qualsiasi app anche da fonti sconosciute.
Chiaramente trattasi di un comportamento indesiderato che Google ha risolto con gli aggiornamenti di sicurezza per Android di ottobre 2019 . La patch rilasciata da Google ha rimosso il servizio Android Beam dalla whitelist del sistema operativo relativa alle fonti ritenute attendibili.
Gli esperti hanno sottolineato che un numero impressionante di dispositivi Android con NFC e i servizi Android Beam abilitati potrebbe essere compromesso, un utente malintenzionato nelle vicinanze che potrebbe quindi sfruttare la falla CVE-2019-2114 per inoculare un malware su telefoni vulnerabili.
“In Android 8 (Oreo) è stata introdotta una nuova funzionalità che richiede agli utenti di attivare l’autorizzazione” Installa app sconosciute “. Tuttavia, sembra che qualsiasi applicazione di sistema firmata da Google verrà automaticamente autorizzata e non richiederebbe all’utente questa autorizzazione. Su un dispositivo con sistema operativo Android standard, il servizio NFC è una di queste applicazioni di sistema che ha il permesso di installare altre applicazioni.” recita l’analisi pubblicata da NightWatchCybersecurity“ Ciò significa che un telefono Android con NFC e Android Beam abilitati, semplicemente posto in prossimità di un un telefono di un attaccante o di un terminale di pagamento NFC compromesso potrebbe essere infettato consentendo l’installazione di un malware ignorando la notifica “installa app sconosciute”.
Gli esperti ritengono tuttavia che la falla non sia critica in quanto anche essendo la funzione NFC abilitata di default sui nuovi dispositivi Android, per trasferire un file tramite NFC l’attaccante dovrebbe essere a una distanza di 4 cm (1,5 pollici) o inferiore, uno scenario di attacco che non è sempre possibile.
Va tuttavia sottolineato che secondo i dati forniti da Google sulla diffusione delle differenti versioni di Android, circa il 38,7% dei dispositivi sul mercato utilizza versioni potenzialmente affette dalla vulnerabilità. Qualora questi dispositivi non siano stati aggiornati, i proprietari risulterebbero esposti all’attacco descritto in questo articolo, parliamo di circa un miliardo di dispositivi.