25/10/19
Команда исследователей из Checkmarx Security Research обнаружили уязвимость, затрагивающую ОС Android версий 7, 8 и 9. Уязвимость содержится в предустановленном приложении Tags, предназначенном для считывания тегов Near Field Communication (NFC), анализа и отправки результатов соответствующим приложениям.
Уязвимость (CVE-2019-9295) позволяет любому неавторизованному приложению обманывать Tags для имитации нового тега NFC, что может быть использовано злоумышленниками в рамках атак. Для эксплуатации уязвимости необходимо также взаимодействие с пользователем.
Специалисты описали несколько сценариев атаки. Первый предполагает реализацию всплывающего окна, побуждающего пользователя просканировать новый NFC тег (сгенерированный вредоносным приложением). Пользователю потребуется взаимодействовать с данным окном для выбора соответствующего приложения. Когда пользователь попытается прочитать тег NFC, вредоносное приложение считает его, изменит содержимое и затем вызовет средство просмотра тегов Android по умолчанию, при этом пользователь ничего не заподозрит.
Во втором сценарии пользователь сканирует настоящее приложение, что позволит вредоносной программе перехватить и изменить содержимое тега до его обработки соответствующим приложением операционной системы. К примеру, в процессе сканирования пользователем ярлыка компании с номером телефона, неавторизованное приложение может изменить данный номер, не вызывая подозрений жертвы.
Оба сценария требуют перехода пользователя по ссылке, переадресовывающей на подконтрольную злоумышленникам страницу с неправильным номером или другими данными, которые могут быть встроены в NFC-теги.
Компания Google исправила данную проблему в Android 10, однако предыдущие версии ОС все еще остаются уязвимыми. Пользователям настоятельно рекомендуется обновиться до последней версии ОС.
