Android: bug na transmissão de NFC permite que hackers “plantem” malware

No mês passado, o Google corrigiu um erro do Android que permite que hackers transmitam malware para um telefone próximo por meio de um recurso pouco conhecido do sistema operacional Android chamado NFC beaming.

A transferência de NFC é alimentada por um serviço interno do sistema operacional Android conhecido como Android Beam. Este serviço permite que um dispositivo Android envie dados como imagens, arquivos, vídeos ou aplicativos para outro dispositivo próximo usando canais sem fio NFC (Near-Field Communication), como alternativa ao WiFi ou Bluetooth.

Radiação NFC

Normalmente, os aplicativos (arquivos APK) enviados via transferência NFC são armazenados no disco e uma notificação aparece na tela. A notificação pergunta ao proprietário do dispositivo se ele deseja permitir que o serviço NFC instale um aplicativo de uma fonte desconhecida.

No entanto, em janeiro deste ano, o pesquisador de segurança Y. Shafranovich descobriu que os aplicativos enviados via NFC transmitidos para o Android 8 (Oreo) ou posterior não exibiam a pergunta de aprovação na notificação. Em vez disso, a notificação permite que o usuário instale o aplicativo com um clique, sem nenhum aviso de segurança.

A falta de um alerta de segurança é uma questão importante para o Android. Os dispositivos Android não têm permissão para instalar aplicativos de “fontes desconhecidas” – pois qualquer coisa instalada fora da Play Store oficial é considerada não confiável e não verificada.

Se os usuários quiserem instalar um aplicativo fora da Play Store, eles precisam visitar a seção “Instalar aplicativos de fontes desconhecidas” do sistema operacional Android e ativar o recurso.

Até o Android 8, essa opção “Instalar de fontes desconhecidas” era uma configuração no nível do sistema, a mesma para todos os aplicativos. Mas, começando com o Android 8, o Google redesenhou esse mecanismo para uma configuração baseada em aplicativo.

Nas versões modernas do Android, os usuários podem visitar a seção “Instalar aplicativos desconhecidos” nas configurações de segurança do Android e permitir que aplicativos específicos instalem outros aplicativos.

Android

O erro CVE-2019-2114 ocorreu porque o aplicativo Android Beam ficou na lista de permissões, recebendo o mesmo nível de confiança que o aplicativo oficial da Play Store.

O Google disse que não havia motivo para preocupação, já que o serviço Android Beam não foi criado para instalar aplicativos, mas simplesmente como uma maneira de transferir dados de um dispositivo para outro.

Os patches do Android de outubro de 2019 removem o serviço Android Beam da lista de permissões do SO.

No entanto, muitos milhões de usuários permanecem em risco. Se os usuários tiverem o NFC e o Android Beam ativados, um hacker poderá plantar programas maliciosos (aplicativos maliciosos) em seus telefones.

Se não houver aviso de segurança para instalação de uma fonte desconhecida, tocar na notificação inicia a instalação de aplicativos maliciosos. Existe o risco de muitos usuários interpretarem mal a mensagem como proveniente da Play Store e instalarem o aplicativo, considerando que é uma atualização.