Gli hacker possono utilizzare NFC per piantare malware sul tuo smartphone Android

Gli smartphone che eseguono Android 8.0 (Oreo) o versioni successive sono colpiti da un bug, tracciato come CVE-2019-2114, che consente agli hacker di piantare malware su dispositivi vicini tramite NFC in modo discreto.

Tuttavia, Google ha recentemente rilasciato una patch per affrontare questa vulnerabilità.

Per chi non lo sapesse, il funzionamento del NFC (Near Field Communication) avviene tramite un servizio interno del sistema operativo Android noto come Android Beam. Android Beam consente il trasferimento di dati tra due dispositivi tramite onde radio NFC e consente anche lo scambio rapido a corto raggio di segnalibri web, informazioni di contatto, indicazioni, video di YouTube e altri dati.

Normalmente, quando le app (file APK) vengono trasferite tramite NFC, vengono memorizzate su disco e viene visualizzata una notifica sullo schermo. Il messaggio chiede al proprietario del dispositivo il permesso di consentire al servizio NFC di installare un’app da una fonte sconosciuta.

A gennaio di quest’anno, il ricercatore di sicurezza Y. Shafranovich ha scoperto che i file APK inviati tramite NFC su Android 8 (Oreo) o versioni successive non visualizzerebbero alcuna notifica di sicurezza per gli utenti. Invece, la notifica consentirebbe all’utente di installare l’app da una fonte sconosciuta con un solo tocco, senza chiedere alcun permesso di sicurezza esplicito.

Di solito, Google visualizza un avviso di sicurezza quando installi app da fonti sconosciute, poiché qualsiasi app installata al di fuori del Play Store ufficiale è considerata non affidabile e non verificata. Tuttavia, alcuni servizi come Google Chrome e l’app Android di Dropbox ricevono lo stesso livello di fiducia dell’app ufficiale del Play Store e possono essere scaricati senza essere bloccati.

Il bug CVE-2019-2114 risiedeva nel fatto che Google aveva inserito nella whitelist la funzione NFC Beaming, cosa che non doveva accadere. Secondo Google, il servizio Android Beam doveva trasferire dati da dispositivo a dispositivo e non installare applicazioni.

Google ha risolto la vulnerabilità con le patch Android di ottobre 2019 e ha rimosso il servizio Android Beam dalla whitelist del sistema operativo delle fonti affidabili.

Tuttavia, molti milioni di utenti di dispositivi Android che hanno il servizio NFC e il servizio Android Beam abilitati sono a rischio, poiché un attaccante nelle vicinanze può sfruttare il difetto CVE-2019-2114 per piantare malware (app dannose) sui telefoni vulnerabili.

“In Android 8 (Oreo) è stata introdotta una nuova funzionalità che richiede agli utenti di accettare il permesso ‘Installa app sconosciute’ su base app per app. Tuttavia, sembra che qualsiasi applicazione di sistema firmata da Google sarà automaticamente inserita nella whitelist e non chiederà all’utente questo permesso. Su un dispositivo Android standard, il servizio NFC è una di queste applicazioni di sistema che ha il permesso di installare altre applicazioni.” si legge nell’analisi pubblicata da NightWatchCybersecurity. “Questo significa che un telefono Android che ha NFC e Android Beam abilitati, toccando un telefono dannoso o un terminale di pagamento NFC dannoso, potrebbe consentire l’installazione di malware bypassando il messaggio ‘installa app sconosciute’.”

Affinché il bug funzioni su un dispositivo Android abilitato NFC, l’attaccante deve trovarsi a una distanza di 4 cm (1,5 pollici) o meno, il che potrebbe non essere sempre possibile.

Come misura precauzionale, ti suggeriamo di disattivare le funzionalità NFC e Android Beam sul tuo smartphone. Inoltre, ti chiediamo di aggiornare il tuo smartphone Android per ricevere gli aggiornamenti di sicurezza di ottobre 2019.

Leggi anche - Miglior antivirus gratuito per smartphone Android