Специалисты компании Checkmarx раскрыли детали опасной уязвимости в ОС Android. Злоумышленники могут эксплуатировать баг, допускающий манипуляцию с NFC-метками, для перенаправления жертв на вредоносный сайт и других целей. Разработчики исправили недостаток в последней версии ОС, но не устранят его в предыдущих релизах.

Ошибка выявлена в системном приложении Tags, предназначенном для обработки сигналов от NFC-меток. При обнаружении в радиусе действия устройства такого чипа программа отображает окно с предложением произвести какое-то действие — например, перейти по ссылке или совершить звонок. ИБ-специалисты выяснили, что киберпреступник может вмешаться в работу Tags и самостоятельно выводить такие сообщения.

Варианты атак на пользователей Android через NFC-метки

Исследователи описали два сценария атаки. Первый предполагает открытие диалогового окна даже без обнаружения NFC-метки, второй связан с изменением содержимого легитимного сообщения.

Установив на устройство вредоносную программу, злоумышленник может подменить телефон или ссылку, указанную на экране, чтобы заставить пользователя перейти на фишинговый сайт или совершить звонок на платный номер. Нападение требует взаимодействия с жертвой, что существенно снижает уровень угрозы.

Причина бага CVE-2019-9295 — недостаточная проверка разрешений на уровне приложения. Как утверждают ИБ-аналитики, в ряде случаев зловреду даже не потребуются расширенные привилегии, поскольку он будет взаимодействовать с ОС через легитимную программу Tags.

Разработчики Google исправили ошибку в Android 10, выпустив заплатку в рамках комплекта патчей, вышедшего 3 сентября. Уязвимость присутствует в предыдущих релизах ОС — для них не планируют выпускать апдейты, только рекомендации по безопасности.

В июне этого года японские ученые разработали метод взлома NFC-соединения, который позволял манипулировать целевым устройством. В рамках эксперимента исследователи перешли по вредоносной ссылке и подключились к беспроводной сети без ведома жертвы. Для атаки требовался громоздкий комплект оборудования, включающий медный коврик, трансформатор и небольшой компьютер. Тем не менее авторы утверждают, что злоумышленники могли бы вмонтировать приборы в стол или другую поверхность.

Категории: Главное, Уязвимости