Bug in Android Beam, pericolo malware

Google ha rilasciato ad ottobre la patch per una vulnerabilità scoperta in Android Beam. Un malintenzionato poteva installare malware sfruttando il cosiddetto NFC Beaming, senza mostrare la corrispondente notifica. La funzionalità, introdotta nel 2011 con Android 4.0 Ice Cream Sandwich, è stata rimossa in Android 10. Il ricercatore di sicurezza Y. Shafranovich ha verificato che il bug era presente a partire da Android 8.0 Oreo.

Android Beam permette di inviare immagini, video, file, pagine web e app ad un altro dispositivo nelle vicinanze utilizzando la tecnologia NFC (Near Field Communication). Quando viene inviato un file APK presente sullo smartphone, l’utente destinatario deve concedere il permesso di installare app da fonti sconosciute. Il ricercatore ha scoperto che l’avviso non viene mostrato perché il servizio NFC è inserito nella “whitelist” e pertanto non è necessario chiedere il permesso.

Nelle versioni precedenti ad Android Oreo era disponibile un’unica opzione “Installa da fonti sconosciute” per tutte le app. A partire da Android Oreo l’opzione è presente per ogni singola app. Essendo un’app di sistema, Google ha inserito il servizio NFC nella whitelist, ovvero nell’elenco di app per le quali è consentita l’installazione da fonti sconosciute per modalità predefinita. Se è attivo Android Beam si potrebbe installare un malware senza mostrare nessun avviso. È infatti sufficiente un tap sulla notifica.

La patch di ottobre rimuove il servizio NFC dalla whitelist. Non tutti i dispositivi verranno aggiornati, quindi è consigliabile trovare “Servizio NFC” nelle app di sistema e disattivare l’opzione relativa all’installazione da fonti sconosciute. La cattiva notizia è che NFC è abilitato per default sulla maggioranza dei nuovi dispositivi. La buona notizia è che lo scambio tramite NFC richiede la vicinanza tra i dispositivi (entro 4 centimetri). Chi usa NFC per i pagamenti mobile può lasciare attiva la voce corrispondente, ma disattivare Android Beam.