Google в конце октября 2019 года устранила уязвимость CVE-2019-2114, которая могла использоваться злоумышленниками для распространения вредоносного программного обеспечения между устройствами на ОС Android, находящимися недалеко друг от друга. Проблема заключалась в некорректной работе функции NFC Beaming в режиме «Android beam: enabled», которая позволяла передавать по NFC на другое устройство APK-файлы приложений. Причем сам сервис Android Beam для операционный системы по уровню доверия был в белом списке, а передаваемые файлы воспринимались так же, как приложения из Google Play Store. Данной уязвимости были подвержены все устройства на базе Android Oreo (8.0) и более поздних версий.
Расширенный функционал технологии NFC (Near Field Communication) работает на Android-устройствах с помощью внутреннего сервиса операционной системы Android Beam. Данный сервис также позволяет передавать определенные данные между двумя устройствами на Android. Это могут быть файлы с изображениями, видеофрагменты, а также другие файлы и APK-приложения, которые могут быть скомпрометированы или специально заражены.
После выполнения процесса передачи по NFC, APK-файлы приложений сохраняются в памяти внутреннего накопителя устройства-получателя. Однако, если получателем является устройство на базе Android Oreo (8.0) и более поздних версий, то на экране этого устройства при этом не появляется соответствующий запрос или уведомление на разрешение установки ПО из неизвестного источника. А вместо этого на экран второго устройства выводится сообщение, позволяющее его пользователю одним нажатием установить программу, полученную с другого устройства через NFC.
Конечно, данная проблема не является серьезным изъяном в системе безопасности Android, так как пользователю все равно нужно подтвердить запуск полученного файла. Однако, в этом случае был пропущен важный шаг — ведь устройствам на Android по умолчанию не разрешается устанавливать приложения из «неизвестных источников», если не активирована соответствующая опция в настройках безопасности устройства. А в случае с Android Beam если такая опия была выключена, то все равно приложения по NFC можно было получить и начать устанавливать без всяких предупреждений системы безопасности ОС.
Оказалось, что разработчики не учли такой момент — сервис Android Beam по умолчанию имел в системе Android Oreo (8.0) и более поздних версий самый высокий уровень доверия и все передаваемые через него файлы воспринимались как официальные приложения из Play Store. Хотя функционал этого сервиса изначально не предназначался для установки приложений с его помощью. Данной уязвимости был присвоен номер CVE-2019-2114, она была впервые зарегистрирована 30 января 2019 года. На данный момент эта уязвимость устранена в октябрьском пакете обновлений для ОС Android. В системе Google эта уязвимость имеет данные: Google Bug # 123651515 (Android ID # A-123700348).
Данная уязвимость соответствовала требованиям программы Android Security Rewards, а Google выплатил за ее нахождение и предоставление информации вознаграждение.
К сожалению, не доступен сервер mySQL