資安專家發現了存在於 Android 和 Meego 手機中的 NFC 漏洞。

資安專家 Charlie Miller 今天展示了如何利用 Android 和 Meego 手機上的多個 NFC 漏洞。他可以利用自己設計的 NFC 標籤，在上述兩個平台的手機上執行有害的程式碼。

他設計的 NFC 標籤可以放在結帳處或是其他公共場所，在使用者想利用手機上的 NFC 付帳時，入侵他們的手機。這個漏洞並不是由 NFC 這個標準造成的，NFC 規格的安全性仍然毋庸置疑，Charlie Miller 所利用的漏洞是 Meego 和 Android 在支援 NFC 標準時所整合的軟體所造成。

Charlie Miller 也表示 Google 設計的 Android Beam 功能可以讓使用者透過 NFC 啟動瀏覽器，因此可以執行一大堆經由網路的入侵行動。駭客們將不僅是利用 NFC 的軟體層來入侵，而可以利用整個瀏覽器與其可以達成功能來做為入侵工具。

雖然在之前數版的 Android 中多數的瀏覽器漏洞已經補起來，不過即使在最新的 Android ICS 版本中，仍留有與 WebKit 相關的多個安全漏洞。

在 Android 2.3 上，Charlie Miller 可以綁架控制 NFC 功能的程式 daemon，而不只是開啟瀏覽器而已。幸好運行 Android 2.3 又具有 NFC 功能的裝置非常少，因此實際使用的可能性不大。Charlie Miller 表示 NFC 可以讓駭客們更容易將他們的程式碼安裝到你的裝置上。他以 PDF 漏洞為例，過去要利用這個漏洞必須將程式寄送到受害者的電子郵件，或是想辦法讓他們造訪你的網站；現在你只要接近他們利用 NFC 傳輸就可以了。

美國 Google 目前拒絕評論 Charlie Miller 找到的漏洞，不過 Google 似乎早就知道這個漏洞存在。雖然使用者可以完全關閉 Android Beam 功能，不過我們還是希望能夠快點看到 Android Beam 能在要執行動作前，先彈出通知告訴使用者。

Source

Source

資料來源: VRZONE/Mengkuei Hsu 2012/7/26 (http://chinese.vr-zone.com/27211/security-researcher-found-android-and-meego-nfc-exploits-07262012/)