Android NFC 漏洞可被黑客拿來傳播植入惡意軟體

ZDNet 報導稱，近期曝光的一個 Android 漏洞，導致黑客能夠利用裝置上的近場接觸（NFC）功能，向受害者傳播植入惡意軟體。CVE-2019-2114 漏洞報告指出，問題源自一項鮮為人知的 Android OS 功能，它就是 NFC Beaming 。所有執行 Android 8 Oreo 及以上版本的裝置，都會受到影響。

據悉，NFC 廣播通過裝置內部的 Android OS 服務（Android Beam）來工作。 這項服務允許 Android 裝置使用近場通訊（NFC）技術來替代 Wi-Fi 或藍芽，將影象、檔案、視訊、甚至應用程式，傳送到另一臺裝置上。

通常情況下，通過 NFC 傳輸的 APK 安裝包會儲存在裝置上，並在螢幕上顯示相關通知，詢問使用者是否允許安裝未知來源的應用程式。然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人員發現：在 Android 8（Oreo）或更高版本的系統上通過 NFC 廣播來傳送應用程式，並不會顯示這一提示。

相反，該通知允許使用者一鍵安裝應用程式，而不發出任何安全警告。儘管缺少一個提示，聽起來似乎並不那麼重要，但它還是成為了 Android 安全模型中的一個重大問題。慶幸的是，谷歌已在 2019 年 10 月修復了這個影響 Android 裝置的 NFC Beaming 漏洞。

“未知來源”的定義，特指通過官方 Play 商店之外安裝的任何東西，其預設都被視為不受信任和未經驗證。若使用者需要側載外部應用，必須前往設定選單，然後手動啟用“允許從未知來源安裝應用”。

Android 8 Oreo 之前，這項設定並沒有什麼問題。然而從 Android 8 Oreo 開始，谷歌將這種機制重新設計為基於 App 的設定。在 CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名單，獲得了與官方 Play 應用商店相同的信任許可權。

谷歌表示，Android Beam 服務從來就不是安裝應用程式的一種方式，而僅僅是一種在裝置之間傳輸資料的方式。即便如此，該公司還是在 2019 年 10 月的 Android 安全補丁中，將 Android Beam 踢出了這款移動作業系統中的受信任來源列表。

對於數百萬仍處於危險之中的 Android 使用者，我們在此建議大家儘快升級手機的安全補丁、或者儘量在不使用時關閉 NFC 和 Android Beam 功能。

來源：cnBeta.COM

更多資訊

Firefox 72 Nightly 現已新增對 HTTP/3 的支援

繼 Chrome 和 Cloudflare 之後，Mozilla 宣佈在 Nightly 通道的最新版本中已經新增了對 HTTP/3 的支援，不過由於該版本中並未獲得最 QUIC 協議的支援，因此目前尚未生效。目前谷歌已經在 Chrome Canary 通道版本中新增了實驗性質的“HTTP over QUIC”（又名 HTTP/3）支援，可以通過命令列模式測試啟用。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5348.html 

Gitlab 討論不招中國和俄羅斯的網站可靠性工程師

Gitlab 的各種政策都通過網站文件的方式公諸於眾，其中部分政策相當敏感，比如出於保護使用者資料的原因考慮停止招募部分國家的工程師。根據上個月的一份文件，部分企業客戶對部分國家的工程師訪問客戶資料表達了擔憂。

來源：solidot.org
詳情連結：https://www.dbsec.cn/blog/article/5349.html 

俄羅斯網際網路主權法生效

俄羅斯的網際網路主權法正式生效，該法律給予政府廣泛的權利限制俄羅斯境內的 Web 流量。克里姆林宮稱它有助於改進網路安全，使用者不會注意到任何改變。

來源：solidot.org
詳情連結：https://www.dbsec.cn/blog/article/5350.html 

網路平臺洩露多少使用者資訊可入罪？司法解釋來了

11月1日，《最高人民法院、最高人民檢察院關於辦理非法利用資訊網路、幫助資訊網路犯罪活動等刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）正式施行。《解釋》對資訊洩露、釣魚網站等網際網路上屢見不鮮的犯罪行為，有了明確規範。

來源：每日經濟新聞
詳情連結：https://www.dbsec.cn/blog/article/5351.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視