得益于智能手機市場的激烈競爭,以往高端安卓旗艦機專屬的近場通訊(NFC)功能被下放至入門級別的千元機之中,而NFC“即貼即用”的易用性也使其成為了千元手機的重要賣點。
不過,如果你的手機擁有NFC功能,那么在收到最新的安卓系統(tǒng)安全補丁更新之前,最好還是將這一功能關閉。因為,開啟這一功能將大幅提升被植入惡意軟件的可能性。
據(jù)外媒報道,谷歌在最新版本的安卓系統(tǒng)補丁中修復了一個Bug,該漏洞的存在允許黑客通過安卓的系統(tǒng)功能Android Beam,向安卓手機發(fā)送不會提示的APK安裝包。Android Beam就是負責管理NFC功能,其能夠決定安卓設備是否使用NFC技術來替代WiFi或藍牙,將圖像、文件、視頻以及應用程序,發(fā)送到另一臺設備上。
顯而易見,這是一個十分嚴重的Bug。就以大家熟悉的日常使用場景為例,以前別人用NFC功能給你傳輸軟件時,在傳輸完成之后屏幕都會彈出一個提示,詢問是否允許NFC服務安裝來自未知來源的應用程序;而這一漏洞的出現(xiàn),卻會讓這一十分重要的提示環(huán)節(jié)跳過,用戶只要點擊了APK安裝包就會直接完成安裝。
這一Bug最早由安全研究員(Y. Shafranovich)在今年1月份發(fā)現(xiàn),彼時其發(fā)現(xiàn)在Android 8及以后版本中,通過NFC發(fā)送的應用就不會顯示這個提示信息。據(jù)了解,原來Android Beam這一功能是在Android 8系統(tǒng)中被谷歌納入了Android OS的系統(tǒng)功能白名單,擁有了與官方 應用商店一樣的信任權限。
對于這一變動,谷歌官方表示,這并不是有意為之,因為Android Beam服務從來就不是安裝應用程序的方式,而僅僅是一種在設備之間傳輸數(shù)據(jù)的方式。
需要注意的是,這一系統(tǒng)級漏洞已經(jīng)被谷歌進行了修復,官方在2019年10月的安全補丁中將Android Beam從可信來源的操作系統(tǒng)白名單中刪除。也就是說,你在完成最新的補丁更新之后,只要使用NFC傳輸軟件,系統(tǒng)都會提示你“是否安裝來自未知來源的應用”。
漏洞在1月份發(fā)現(xiàn)到現(xiàn)在被曝光被更多人知曉,這就說明該漏洞已經(jīng)被解決,已經(jīng)不足為慮了。但是,官方解決方案出來了并不意味著你使用的安卓手機就高枕無憂了。這就不得不回到那個最讓谷歌頭痛的系統(tǒng)碎片化問題。
大家都知道,安卓系統(tǒng)的締造者谷歌一直都希望終端廠商能夠跟隨自己的更新步伐,將自家產(chǎn)品的系統(tǒng)更新至最新版本。但現(xiàn)實情況是,除了三星、索尼等老牌廠商,國產(chǎn)手機廠商一般都不愿意第一時間更新底層系統(tǒng),甚至連官方的定期安全補丁也不愿意推送。
鑒于這一國情,谷歌發(fā)布的安全補?。?019年10月)何時能夠推送到各位手機中,這還得看你所使用的手機品牌的“售后水平”了。當然,在官方補丁推送之前,大家也不用過度擔心。正如開篇所言,NFC擁有“即貼即用”的特性,這就意味著如果別有用心之人想要向你傳輸惡意軟件,必須離你很近。另外,大家也可以提高自己的安全意識,在點擊安裝之前確認這款軟件是否自己從正規(guī)渠道下載的。