مراقب یک باگ خطرناک اندروید باشید

قابلیت NFC beaming، با یک سرویس داخلی اندروید به نام Android Beam کار می‌کند. این سرویس، به یک دستگاه اندرویدی اجازه می‌دهد تا داده‌هایی مانند تصاویر، فایل‌ها، ویدیوها و حتی اپلیکیشن‌ها را از طریق امواج رادیویی NFC (به عنوان جایگزینی برای وای‌فای و بلوتوث) به دستگاه نزدیک دیگری ارسال کند. به‌طور معمول، اپلیکیشن‌هایی (فایل‌های APK) که از طریق NFC فرستاده می‌شوند، بر روی دیسک ذخیره شده و سپس نوتیفیکیشنی بر روی نمایشگر نمایش داده می‌شود. نوتیفیکیشن از دارنده دستگاه می‌پرسد که آیا او می‌خواهد به سرویس NFC اجازه نصب اپلیکیشن را از یک منبع ناشناس بدهد یا نه.

اما در ژانویه امسال، یک محقق حوزه امنیت سایبری به نام Y. Shafranovich کشف کرد که اپلیکیشن‌هایی که از طریق قابلیت NFC beaming اندروید 8 اوریو یا نسخه‌های بالاتر ارسال شده‌اند، چنین مجوزی را نشان نمی‌دهند. در عوض، نوتیفیکیشن به کاربر اجازه می‌دهد تا اپلیکیشن را با یک کلیک و بدون هیچ هشدار امنیتی نصب نماید.

هرچند که در ظاهر، عدم درخواست مجوز، چندان مهم به نظر نمی‌رسد، اما این کار برای امنیت اندروید یک مشکل اساسی محسوب می‌شود. دستگاه‌های اندرویدی مجاز به نصب اپلیکیشن‌ها از منابع ناشناخته نیستند. دلیل آن هم این است که هرچیزی که خارج از پلی استور بر روی دستگاه نصب گردد، به عنوان یک مورد امنیتی غیرقابل‌اعتماد و تاییدنشده در نظر گرفته می‌شود. بنابراین اگر کاربری بخواهد اپلیکیشنی را خارج از پلی استور نصب نماید، باید گزینه Install apps from unknown sources را در بخش تنظیمات دستگاه فعال کند.

تا قبل از عرضه اندروید 8 اوریو، گزینه فوق، به صورت یک تنظیم سیستمی بود که برای همه اپلیکیشن‌ها اجرا می‌گردید. اما با انتشار اندروید 8، گوگل این روش را بازطراحی کرد و آن را به یک تنظیم مبتنی بر اپلیکیشن تغییر داد.

در نسخه‌های مدرن اندروید، کاربران می‌توانند گزینه Install unknown apps را در تنظیمات امنیتی اندروید مشاهده کنند و به اپلیکیشن‌های خاص اجازه نصب بدهند. برای مثال، در تصویر زیر، به اپلیکیشن‌های اندرویدی کروم و دراپ‌باکس، مانند اپلیکیشن‌های پلی استور، اجازه نصب داده شده است.

باگ اندروید CVE-2019-2114، بر این واقعیت کار می‌کند که اپلیکیشن Beam اندروید، در لیست سفید اپلیکیشن‌های مورد اعتماد قرار دارد و با آن نیز، با همان سطح اعتماد اپلیکیشن‌های پلی استور، رفتار می‌شود.

این رو هم بخون:

اپلیکیشن Recorder مخصوص گوگل پیکسل 4 برای مدل‌های پیکسلی قدیمی‌تر نیز…

۱۳۹۸/۰۸/۱۱

گوگل گفته است که این موضوع قرار نبود اتفاق بیفتد؛ چراکه سرویس Beam اندروید هرگز روشی برای نصب اپلیکیشن‌ها نبوده و صرفا راهکاری برای انتقال داده‌ها از یک دستگاه به دستگاه دیگر بوده است.

به همین‌خاطر، بسته‌های امنیتی اکتبر 2019 اندروید، سرویس Beam را از لیست سفید منابع قابل اعتماد سیستم عامل حذف کرده‌اند. با این‌حال، میلیون‌ها کاربر در معرض خطر قرار دارند؛ برای اینکه اگر کاربری بر روی دستگاه خود سرویس NFC را داشته باشد و سرویس Beam نیز فعال شده باشد، یک هکر نزدیک به او می‌تواند بدافزار (اپلیکیشن‌های آلوده) را بر روی گوشی‌اش نصب کند.

از آنجاییکه هیچ هشداری درباره نصب از یک منبع ناشناخته به کاربر داده نمی‌شود، کلیک کردن بر روی نوتیفیکیشن، شروع به نصب اپلیکیشن آلوده خواهد کرد. این خطر وجود دارد که بسیاری از کاربران ممکن است تصور کنند که پیام دریافتی، از طرف پلی استور بوده و شروع به نصب اپلیکیشن کنند.

چگونه از خودمان در برابر این باگ اندروید محافظت کنیم؟

در این‌باره، هم اخبار خوب وجود دارد و هم اخبار بد. خبر بد این است که قابلیت NFC، به‌طور پیش‌فرض بر روی اکثر گوشی‌های جدیدا فروخته شده، فعال است. بسیاری از دارندگان اسمارتفون ممکن است حتی تا همین لحظه نیز از وجود چنین قابلیتی مطلع نباشند.

اما خبر خوب اینکه، ارتباط NFC، تنها زمانی شروع به کار می‌کند که دو دستگاه، نزدیک به هم و در فاصله ۴ سانتیمتر یا کمتر قرار داشته باشند. این بدین معنی است که هکر باید گوشی خود را به هندست قربانی بسیار نزدیک کند که این کار هم ممکن است همیشه امکان‌پذیر نباشد.

برای ایمن ماندن در برابر باگ اندروید، هر کاربری می‌تواند قابلیت NFC و سرویس Beam را بر روی گوشی خود غیرفعال کند. اگر کاربری از دستگاه اندرویدی خود به عنوان کارت دسترسی یا یک روش پرداخت بدون‌تماس استفاده می‌کند، می‌تواند قابلیت NFC را همچنان فعال نگه دارد، اما سرویس Beam را غیرفعال کند (تصویر زیر). این کار، انتقال فایل از طریق NFC را مسدود کرده، اما همچنان اجازه کار با سایر امکانات آن را می‌دهد.

بنابراین، جای هیچ نگرانی نیست. فقط Beam و NFC را در صورت نیاز نداشتن غیرفعال کنید، یا اینکه گوشی خود را به بسته امنیتی اکتبر 2019 به‌روزرسانی کرده و با خیال راحت از این دو سرویس استفاده نمایید.