C’è una grossa falla nella sicurezza degli smartphone Android, dalla versione 8 Oreo in poi, derivante dalla connessione NFC (Near Field Communication, quella usata ad esempio per i pagamenti contactless). Google ha già rilasciato una patch per risolvere il problema, ma i dispositivi ancora non aggiornati sono decine di milioni.
La falla è stata scoperta a gennaio dal ricercatore Yakov Shafranovich e comunicata a Google, che ha già patchato tutti i Pixel ad ottobre 2019. Restano da aggiornare tutti gli altri smartphone Android, con i tempi e le modalità scelte dai singoli produttori. Potrebbero quindi volerci anche mesi prima che tutti gli smartphone con Android 8, 9 e 10 siano messi in sicurezza. Nel frattempo, qualunque hacker si trovi nelle vicinanze del nostro device con chip NFC potrebbe installarvi un malware a nostra insaputa. Senza che noi possiamo in alcun modo proteggere il dispositivo.
Come installare un malware tramite NFC
Tramite Android Beam, il servizio di Android che gestisce le comunicazioni NFC tra due dispositivi, possiamo condividere contenuti con un altro dispositivo posizionato a pochi centimetri dal nostro. Ma se l’altro dispositivo non dispone dell’app necessaria per visualizzare questi contenuti, riceve una notifica per scaricare l’app con cui visualizzarli. E qui c’è il rischio malware, perché l’app scaricata potrebbe essere infetta.
Da Android 8 in poi, infatti, Android Beam può installare app da fonti sconosciute. Prima di Android 8 era possibile abilitare l’installazione di app da fonti sconosciute solo a livello di sistema (o sì, o no per tutte le app), mentre da Oreo in poi la scelta è a livello di singola app. Negli smartphone con sistema operativo recente, quindi, l’utente può scegliere dalle impostazioni quali app possono installare altre app (ad esempio possono farlo, di default, app come Play Store, Chrome e Dropbox). Anche Android Beam può farlo, e qui sorge il problema: se un hacker ci manda un file, via NFC usando Android Beam, da aprire con una app infetta questa app può essere installata senza che Android lo impedisca.
Come proteggersi dai malware via NFC
Se abbiamo un cellulare Pixel, allora non rischiamo più nulla: Google ha già risolto il problema togliendo ad Android Beam il privilegio di installare altre app. Se il nostro smartphone non è ancora aggiornato, invece, le possibilità sono solo due: o disattivare del tutto l’NFC (all’interno delle impostazioni del Bluetooth) e rinunciare quindi a funzionalità come i pagamenti contactless, o disinstallare Android Beam e rinunciare solo alla possibilità di scambiare file con altri dispositivi.