Обнаруженная ещё в январе этого года уязвимость в Android версий 8.0 и более свежих позволяет заразить смартфон вирусом через интерфейс NFC. В безопасности только пользователи более ранних версий ОС и смартфонов, уже получивших октябрьский патч Google.
Дыру в системе безопасности обнаружил в январе 2019-го исследователь в области кибербезопасности, которого ZDNet в своей публикации называет Ю. Шафранович. С 8-й версии Android позволяет пользователю, сохраняя принятый по умолчанию запрет на установку приложений в виде .apk-файлов не через Play Store, задавать доверенные приложения (например, Chrome или Dropbox), которым это всё-таки разрешено. Оказывается, по недосмотру в этот «белый список» автоматически попал системный сервис Android Beam для передачи файлов по NFC и Wi-Fi.
В результате злоумышленник мог, оказавшись рядом с пользователем — например, в транспорте — инициировать установку на его смартфон любого вредоносного приложения без предупреждения об опасности установки программ из сторонних источников. Жертва просто получала уведомление с предложением начать установку.
Опасность в том, что пользователи могут нажать на уведомление машинально, либо приняв его за предложение обновить какое-то приложение через Play Store. В результате этого действия на смартфоне будет установлено вредоносное ПО.
