Breaking News

พบบั๊กบน NFC Beaming ใช้ติดมัลแวร์บน Android ได้ เตือนผู้ใช้เร่งอัปเดต

Y. Shafranovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ค้นพบช่องโหว่บน NFC Beaming หรือฟีเจอร์การถ่ายโอนไฟล์ระยะใกล้บน Android ว่าสามารถใช้เพื่อการติดตั้งมัลแวร์ได้ จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Credit: ShutterStock.com

โดยปกติแล้วเมื่อมีการโอนถ่ายไฟล์ APK ผ่านทาง NFC (Near-Field Communication) จะมีการแจ้งเตือนด้านความมั่นคงปลอดภัยเพื่อให้ผู้ใช้งานกดอนุญาตการติดตั้งแอปจากต้นทางที่ไม่น่าเชื่อถือเสียก่อน แต่ประเด็นคือ Shafranovich ไปพบว่า Android Oreo 8 ขึ้นไปนั้นไม่มีการแจ้งเตือนดังกล่าวขึ้นด้านความมั่นปลอดภัยก่อนมีเพียงแต่การอนุญาตติดตั้งเพียงครั้งเดียวซึ่งผู้ใช้งานอาจพลาดกดได้โดยง่าย

ปกติแล้ว Android จะไม่อนุญาตการติดตั้งแอปจากทางอื่นนอกเหนือจาก Play Store ซึ่งหากจำเป็นต้องดาวน์โหลดผู้ใช้งานจะต้องไปตั้งค่าเปิดฟีเจอร์ใน Android OS ทั้งนี้ตั้งแต่ Android 8 เป็นต้นมามีการปรับจากการอนุญาตโดยรวมเป็นการอนุญาตต่อแอปพลิเคชันแทน ซึ่งช่องโหว่หมายเลข CVE-2019-2114 ใหม่เกิดขึ้นเพราะว่า Android Beam App ถูกให้ค่าเป็น Whitelist หรือหมายถึงถูกเชื่อถือในระดับ Play Store อย่างที่ไม่ควรเกิดขึ้น

อย่างไรก็ตามผู้ใช้งานที่ได้รับผลกระทบ มีแพตช์จาก Google เมื่อเดือนที่ผ่านมาที่แก้ไขช่องโหว่นี้แล้ว ดังนั้นก็เพียงแค่เข้าไปอัปเดตให้ล่าสุด รวมถึงหากไม่จำเป็นต้องใช้ NFC ก็เข้าไปปิดไว้ให้เรียบร้อยเพราะส่วนใหญ่โทรศัพท์ใหม่ๆ หลายรุ่นจะมีการเปิดไว้เป็นค่าพื้นฐาน และเคราะห์ดีที่ NFC นั้นมีระยะการใช้งานเพียงแค่ประมาณ 4 ซม. เท่านั้น ดังนั้นโอกาสโจมตีก็ค่อนข้างยากตาม

ที่มา :  https://www.zdnet.com/article/android-bug-lets-hackers-plant-malware-via-nfc-beaming/ และ  https://www.techworm.net/2019/11/nfc-malware-android.html


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

PCI DSS เวอร์ชัน 4.0 เปิด Request for Comments แล้ว

Payment Card Industry Security Standard Council (PCI SSC) ประกาศเปิด Request for Comments สำหรับร่างมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI DSS …

[Guest Post] Planetcomm ผู้เชี่ยวชาญระบบประชุมทางไกล

เทคโนโลยีการติดต่อสื่อสารระบบวิดีโอคอนเฟอเรนซ์ (Video Conference) หรือการประชุมทางไกลด้วยภาพและเสียง ถือเป็นหนึ่งในเครื่องมือสำคัญ ที่ช่วยเพิ่มประสิทธิภาพการดำเนินงานและลดค่าใช้จ่ายขององค์กรในยุคดิจิทัลได้เป็นอย่างดี