ハッカーはNFCを使用してあなたのAndroidスマートフォンにマルウェアを植え付けることができます

Android 8.0（Oreo）以上のスマートフォンは、CVE-2019-2114として追跡されるバグの影響を受けており、ハッカーが近くのデバイスにNFCビーミングを通じてマルウェアを植え付けることができます。

しかし、Googleは最近この脆弱性に対処するためのパッチをリリースしました。

NFC（近距離無線通信）ビーミングは、Android OSの内部サービスであるAndroid Beamを介して機能します。Android Beamは、NFC無線波を介して2つのデバイス間でデータを転送することを可能にし、ウェブブックマーク、連絡先情報、道順、YouTube動画、その他のデータの迅速な短距離交換も可能にします。

通常、アプリ（APKファイル）がNFCビーミングを介して転送されると、それらはディスクに保存され、画面に通知が表示されます。このプロンプトは、デバイスの所有者に未知のソースからアプリをインストールするためにNFCサービスを許可するかどうかを尋ねます。

今年の1月、セキュリティ研究者Y. Shafranovichは、Android 8（Oreo）以降のバージョンでNFCビーミングを介して送信されたAPKファイルがユーザーに対してセキュリティ通知を表示しないことを発見しました。代わりに、通知はユーザーが明示的なセキュリティ許可を求めることなく、未知のソースからアプリを1タップでインストールできるようにしました。

通常、Googleは未知のソースからアプリをインストールする際にセキュリティ警告を表示します。公式のPlayストアの外からインストールされたアプリは信頼されていないと見なされるためです。しかし、Google ChromeやDropboxのAndroidアプリのような特定のサービスは、公式のPlayストアアプリと同じレベルの信頼を受け、ブロックされることなくダウンロードできます。

CVE-2019-2114バグは、GoogleがNFCビーミング機能をホワイトリストに登録したことに起因しています。これは本来起こるべきではありませんでした。Googleによれば、Android Beamサービスはデバイス間でデータを転送するためのものであり、アプリケーションをインストールするためのものではありませんでした。

Googleは2019年10月のAndroidパッチで脆弱性を修正し、Android Beamサービスを信頼できるソースのOSホワイトリストから削除しました。

しかし、NFCサービスとAndroid Beamサービスが有効になっている何百万ものAndroidデバイスユーザーがリスクにさらされています。近くの攻撃者がCVE-2019-2114の欠陥を悪用して脆弱な電話にマルウェア（悪意のあるアプリ）を植え付ける可能性があります。

「Android 8（Oreo）では、ユーザーがアプリごとに「未知のアプリをインストールする」権限にオプトインする必要がある新機能が導入されました。しかし、Googleによって署名された任意のシステムアプリケーションは自動的にホワイトリストに登録され、この権限をユーザーに求めることはありません。標準のAndroid OSデバイスでは、NFCサービスは他のアプリケーションをインストールする権限を持つシステムアプリケーションの1つです。」とNightWatchCybersecurityが発表した分析は述べています。「これは、NFCとAndroid Beamが有効になっているAndroid電話が、悪意のある電話や悪意のあるNFC決済端末に触れることで、未知のアプリをインストールするプロンプトをバイパスしてマルウェアがインストールされる可能性があることを意味します。」

このバグがNFC対応のAndroidデバイスで機能するためには、攻撃者は4cm（1.5インチ）以内の距離にいる必要があり、常に可能とは限りません。

予防措置として、スマートフォンのNFCおよびAndroid Beam機能をオフにすることをお勧めします。さらに、2019年10月のセキュリティアップデートを受け取るために、Androidスマートフォンを更新することをお勧めします。

また読む - Androidスマートフォン用の最高の無料アンチウイルス