Vulnerabilità in Android: NFC beaming permette l'installazione di app potenzialmente dannose

Il meccanismo NFC beaming si basa su un servizio integrato nel si sistema operativo di Google per i dispositivi mobili, Android Beam, e consente di trasferire dati (ad esempio immagini, file, video, app,…) a un dispositivo fisicamente posto nelle vicinanze. Si tratta di una possibilità offerta dai prodotti che integrano un chip NFC (NFC cos’è come funziona e a che cosa serve) utilizzabile come alternativa rispetto a WiFi e Bluetooth.

Con il rilascio delle patch per Android di ottobre 2019, Google ha confermato di aver risolto una problematica di sicurezza che potrebbe essere sfruttata da malintenzionati e criminali informatici per installare sui dispositivi applicazioni dannose.

Un ricercatore, Y. Shafranovich, ha infatti scoperto che sui dispositivi Android 8 Oreo e versioni successive il sistema operativo non mostrava alcuna richiesta di conferma quando un utente vicino provava a trasmettere un’app arbitraria via NFC beaming. L’applicazione veniva trasferita sull’altrui smartphone e addirittura installata senza mostrare alcuna richiesta di conferma. Ciò derivava dal fatto che il servizio Android Beam non seguiva neppure l’impostazione che permette di scongiurare l’installazione del contenuto di file APK provenienti da fonti sconosciute.

Con gli aggiornamenti di sicurezza di ottobre, Google ha corretto il comportamento del servizio Android Beam rendendo impossibile l’installazione automatica di qualunque app trasmessa da un dispositivo nelle vicinanze.

Il problema è che molti device Android possono restare senza aggiornamento ancora per diversi mesi. La buona notizia, però, è che come spiegato nell’articolo citato in apertura, per tentare un collegamento via NFC l’eventuale aggressore dovrebbe disporre il suo telefono a pochi centimetri da quello della vittima. Scenario possibile, per esempio, tra soggetti che si conoscono, seduti al tavolo di un bar ma assolutamente improbabile tra persone che non si sono mai viste. In ogni caso, al fine di proteggersi, è sufficiente disattivare l’utilizzo del chip NFC dalle impostazioni di Android.