Hackers misbruikten de functie Android Beam, waarbij NFC wordt gebruikt om data zoals afbeeldingen, video's of bestanden te versturen, meldt ZDNet. NFC is vooral bekend als de techniek voor draadloos betalen via smartphones.

Via Android Beam kunnen ook apps worden verstuurd, en die functie werd misbruikt. Normaal gesproken krijgen gebruikers een veiligheidswaarschuwing en de vraag of zij een app wel willen installeren, als zij die via Beam krijgen aangeboden. Die waarschuwing ontbrak echter sinds 8, ontdekte beveiligingsonderzoeker Y. Shafranovich.

Geen controle

Gebruikers kregen nu enkel een installatieknop te zien, waardoor een draadloos verstuurd stuk malware makkelijk per ongeluk geïnstalleerd kon worden. Google zegt dat dat niet de bedoeling was: Beam is nooit gemaakt als manier om apps te installeren, maar puur voor de overdracht van data.

Sinds Android 8 heeft elke app een losse instelling voor het al dan niet installeren van apps die niet uit de Play Store komen. Voorheen was dit een systeeminstelling die standaard uitgeschakeld was. Die instelling hoort ook per app standaard uitgeschakeld te zijn, maar dat was door een bug niet het geval bij Android Beam.

Bug inmiddels verholpen

Google heeft dat verholpen met de beveiligingsupdate van oktober. Gebruikers wordt aangeraden altijd de nieuwste updates te installeren. Gebruikers kunnen in de instellingen van Android onder het kopje 'beveiliging' ook zelf de instellingen controleren voor het installeren van apps uit onbekende bron.

Groot was het risico in de praktijk waarschijnlijk niet. Data-overdracht via NFC is pas mogelijk vanaf een afstand van zo'n 4 centimeter, de aanvaller zou dus erg dichtbij de telefoon van zijn slachtoffer moeten komen.