據ZDNet報道，谷歌上個月修補了一個安卓漏洞，黑客可以通過一個鮮為人知的android操作系統功能NFC Beaming將惡意軟件植入到附近的手機上。

據悉，NFC Beaming通過設備內部的 Android OS 服務(Android Beam)來工作。這項服務允許 Android 設備使用NFC技術來替代 Wi-Fi 或藍牙，將圖像、文件、視頻、甚至應用程序，發送到另一臺設備上。

通常情況下，通過 NFC 傳輸的 APK 安裝包會存儲在設備上，并在屏幕上顯示相關通知，詢問用戶是否允許安裝未知來源的應用程序。然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人員發現：在 Android 8(Oreo)或更高版本的系統上通過 NFC 廣播來發送應用程序，并不會顯示這一提示。相反，該通知允許用戶一鍵安裝應用程序，而不發出任何安全警告。

缺少一個提示聽起來似乎并不重要，但這卻是 Android 安全模型中的一個主要問題。安卓設備安裝“未知來源”APP時，都默認都被視為不受信任和未經驗證。若用戶需要安裝Play Store以外應用，必須在設置菜單中手動啟用“允許從未知來源安裝應用”。

Android 8 Oreo 之前，這個“從未知來源安裝”選項是一個系統設置，對所有應用的要求都是一樣的。然而從 Android 8 Oreo 開始，谷歌將這種機制重新設計為基于 App 的設置。

在目前的Android版本中，用戶可以訪問安卓安全設置中的“安裝未知應用”部分，并允許特定應用安裝其他應用。

在 CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名單，獲得了與官方 Play Store相同的信任權限。谷歌表示，這并不是有意為之，因為Android Beam 服務從來就不是安裝應用程序的方式，而僅僅是一種在設備之間傳輸數據的方式。

值得注意的是，谷歌已在 2019 年 10 月的補丁上將Android Beam從可信來源的操作系統白名單中刪除。

然而，仍有數百萬用戶面臨風險。如果用戶啟用了NFC服務和 Android Beam服務，附近的攻擊者可能會在他們的手機上植入惡意軟件。由于沒有來自未知來源的安裝提示，點擊通知會啟動惡意應用程序的安裝。此外，許多用戶可能會誤解這條消息來自Play Store，并安裝該應用程序，誤以為這只是一個更新。

為了安全起見，建議用戶在不需要使用時記得關閉 NFC 和 Android Beam 功能。