“支持NFC吗?”
每逢新机发布,总有俱友留言询问是否支持 NFC。
随着科技的发展,NFC 功能的便利和强大使得它越来越受欢迎。有了它,手机可以充当交通卡、门禁卡,可以充当银行卡,可以一碰传文件……
PC 时代的经验告诉我们,数字化的东西很强大,也很脆弱,堵防漏洞、隔绝病毒是重中之重。
一个关于 NFC 的漏洞
谷歌上个月修复了一个安卓系统关于 NFC 的漏洞。黑客通过它可以向附近的手机植入恶意软件。
谈到这个漏洞,先给大家科普一个名词:Android Beam。它是从 Android 4.0 开始加入的一款应用程序,目的就是最大程度地利用 NFC 技术,让用户方便地分享任何数据,比如联系人、图片、文件、视频甚至应用。
在两部手机之间传输文件,大家应该都有经验,对方发来东西,手机都会询问你是否要接收。有的甚至在发送之前还需要配对密码。这样做就是为了防止有人给你发恶意文件。
图源:突袭网
通过 NFC 发送的应用(APK 文件)存储在磁盘上,也会在屏幕上显示一个通知,询问是否允许 NFC 服务安装来自未知来源的应用。
但是,一位名叫 Y. Shafranovich 的安全研究员发现,在 Android 8 或更高版本上,通过 NFC 发送的应用不会询问是否允许安装。相反,用户轻点一下通知就可以安装应用,而没有任何安全警告。
这事儿就太可怕了。你可能只是想点开看一下通知,甚至是误触,就会安装别人发过来的恶意软件。或者,你以为这是一个来自官方的更新,而误安装。这对开放的安卓系统来说是致命的。
为了安全,安卓设备一般不允许安装来自“未知来源”的应用。如果你确定要安装官方应用商店之外的应用,必须启用安卓系统中“允许安装来自未知来源应用”的功能。
原因在这里
在 Android 8 之前,“允许安装来自未知来源应用”是一个系统级设置,对所有应用都是一样的。但从 Android 8 开始,谷歌把它设计成了基于单独 APP 的设置。
在最新的 Android 版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定的应用安装其他应用。Android Beam 也被列入了白名单,意味着它也可以安装未知来源的应用。
2019 年 10 月发布的安卓补丁,已经将 Android Beam 服务从可信来源的安卓操作系统白名单中移除。
我该怎么办?
要避免这个漏洞带来的安全问题,需要及时更新手机系统。如果你的 NFC 是用来当作交通卡之类的访问卡,或者作为刷卡支付,可以让 NFC 保持启用,但需要禁用 Android Beam 服务。这样一来可以阻止 NFC 文件发送,但仍允许其他 NFC 操作。
另外,平时注意与别人的手机保持距离,因为 NFC 是近场通信,只有当两个设备相距 4 厘米或更近时,才会启动连接。