2019/11/05

Bug no Android deixa instalar apps via NFC sem validação


O sistema Android volta a estar sob fortes críticas, com mais um bug de segurança que facilita a instalação de apps potencialmente maliciosas com recurso ao NFC.

O Android há muito que permite a transferência de conteúdos via NFC, incluindo fotos, ficheiros, e também apps. No caso das apps, é suposto que o dispositivo Android alerte o utilizador para os riscos de instalar uma app via APK, perguntando se deseja autorizar o serviço a instalar uma app de origem desconhecida - mas, nos dispositivos com Android 8, esse alerta não aparece, fazendo com que baste um único toque para que a app seja instalada.

No Android 8 a Google alterou o sistema de permissões de instalação de apps, que anteriormente era uma opção global do sistema, de modo a ter um controlo mais individualizado, app por app. Infelizmente, por algum motivo foi dado ao serviço NFC essa autorização, permitindo-lhe dispensar o alerta de instalação das apps desconhecidas - coisa que a Google já rectificou na última ronda de actualizações.

O grande problema é que, como bem sabemos, a maioria dos smartphones com Android 8 nunca irá receber esta actualização, deixando centenas de milhões de dispositivos em risco. Pela parte positiva, o reduzido alcance do NFC faz com que este tipo de ataque só possa ser feito em situações de grande proximidade. De qualquer forma, ter muito cuidado com as notificações em que tocam com o dedo, caso vejam surgir um pedido de instalação de app que apareça de forma misteriosa e sem justificação aparente.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]