Les hackers peuvent utiliser le NFC pour installer des logiciels malveillants sur votre smartphone Android

Les smartphones fonctionnant sous Android 8.0 (Oreo) ou une version supérieure sont affectés par un bug, suivi sous le nom de CVE-2019-2114, qui permet aux hackers d’installer discrètement des logiciels malveillants sur des appareils à proximité via le NFC.

Cependant, Google a récemment publié un correctif pour remédier à cette vulnérabilité.

Pour ceux qui ne le savent pas, le transfert NFC (Near Field Communication) fonctionne via un service interne du système d’exploitation Android connu sous le nom d’Android Beam. Android Beam permet le transfert de données entre deux appareils via des ondes radio NFC et permet également l’échange rapide à courte portée de signets web, d’informations de contact, d’itinéraires, de vidéos YouTube et d’autres données.

Normalement, lorsque des applications (fichiers APK) sont transférées via le NFC, elles sont stockées sur le disque et une notification s’affiche à l’écran. L’invite demande au propriétaire de l’appareil la permission de permettre au service NFC d’installer une application provenant d’une source inconnue.

En janvier de cette année, le chercheur en sécurité Y. Shafranovich a découvert que les fichiers APK envoyés via le NFC sur Android 8 (Oreo) ou des versions ultérieures n’afficheraient aucune notification de sécurité aux utilisateurs. Au lieu de cela, la notification permettrait à l’utilisateur d’installer l’application provenant d’une source inconnue d’un simple tapotement, sans demander de permission de sécurité explicite.

En général, Google affiche un avertissement de sécurité lorsque vous installez des applications provenant de sources inconnues, car toute application installée en dehors du Play Store officiel est considérée comme non fiable et non vérifiée. Cependant, certains services comme Google Chrome et l’application Dropbox pour Android reçoivent le même niveau de confiance que l’application officielle du Play Store et peuvent être téléchargés sans être bloqués.

Le bug CVE-2019-2114 résidait dans le fait que Google avait mis sur liste blanche la fonctionnalité de NFC Beaming, ce qui n’était pas censé se produire. Selon Google, le service Android Beam était censé transférer des données d’un appareil à un autre et non installer des applications.

Google a corrigé la vulnérabilité avec les correctifs Android d’octobre 2019 et a retiré le service Android Beam de la liste blanche des sources de confiance du système d’exploitation.

Cependant, des millions d’utilisateurs de dispositifs Android qui ont le service NFC et le service Android Beam activés sont à risque, car un attaquant à proximité peut exploiter la faille CVE-2019-2114 pour installer des logiciels malveillants (applications malveillantes) sur des téléphones vulnérables.

« Dans Android 8 (Oreo), une nouvelle fonctionnalité a été introduite qui nécessite que les utilisateurs optent pour la permission