По сообщениям сетевых источников, разработчики Google устранили уязвимость Android, которая могла использоваться злоумышленниками для распространения вредоносного программного обеспечения на Android-устройства, находящиеся поблизости. Для этого могла применяться малоизвестная функция программной платформы, которая называется NFC beaming. Проблема затрагивала все устройства на базе Android Oreo и более поздних версий.
Функция NFC работает на основе внутреннего сервиса операционной системы, который называется Android Beam. Этот сервис позволяет отправлять разные данные, в том числе изображения, видео, другие файлы и даже приложения с одного Android-устройства на другое.
Передаваемые по NFC APK-файлы приложений сохраняются в памяти внутреннего накопителя устройства, а на дисплее при этом появляется соответствующий запрос на разрешение установки ПО из неизвестного источника. В начале этого года было обнаружено, что при отправке приложений по NFC на устройства с Android Oreo или более поздней версией ОС данное уведомление не появляется. Вместо этого выводится сообщение, позволяющее пользователю одним нажатием установить программу, но не напоминающее о возможной опасности.
Хотя этот недочёт не выглядит серьёзным, он представлял собой заметную проблему в модели безопасности Android. Устройствам, работающим на базе Android, по умолчанию не разрешается устанавливать приложения из «неизвестных источников». Если пользователь хочет установить ПО, скачанное не в официальном магазине контента Play Store, он должен активировать соответствующую опцию в настройках безопасности.
Ошибка CVE-2019-2114, о которой идёт речь, заключалась в том, что сервис Android Beam был занесён в белый список, за счёт чего он получал уровень доверия, как у официальных приложений из Play Store. В компании объяснили, что этого не должно было случиться, поскольку сервис никогда не предназначался для установки приложений. Ошибка была исправлена в октябрьском пакете обновлений для операционной системы Android.