由于安卓系统的开放性,用户是可以从未知来源安装应用的。然而,未知来源应用的安装往往有着更高的风险。谷歌意识到了这点,2017
年的 Android 8.0 就开始让用户更难安装商店外部下载的 APK
文件了。新版安卓系统 Android Q
也在这方面更进了一步,用户每次安装未知来源应用都需要提前打开相关设置。

安卓在针对恶意软件的安全性方面名声并不好。虽然谷歌尽最大努力清除恶意应用程序,
但它只能通过其Google
Play商城的专有系统机制来清除恶意应用,由于安卓系统的开放性,”未经核实”
来源的三方应用也能被安装,尽管谷歌也有对此类应用的安全机制,作用却非常有限。

原标题:Android被爆存NFC漏洞 面临手机植入恶意软件威胁

在 Android 8.1 Oreo 和 Android 9 Pie 中,如果用户要从 Google Play
商店外部安装应用,则必须给安装 APK 的应用开启 “安装未知应用”
权限。权限开启后,它将保持启用状态,直到用户手动将其禁用为止。

Android
Q将增强针对未经核实来源应用的安全机制,不过其将十分繁琐,或有可能让用户感到恼火,
放弃尝试。

中关村在线消息:据外媒报道,通过NFC发送的应用(APK文件)存储在磁盘上,并会在屏幕上显示一个通知。通知消息会询问设备所有者是否允许NFC服务安装来自未知来源的应用。

图片 1

图片 2

Android被爆存NFC漏洞面临手机植入恶意软件威胁

这个情况在 Android Q 的测试版中发生了变化,用户每次安装未知来源的
APK,都需要先进入应用信息界面,启用 “允许来自该来源”
的权限。如果用户需要从商店外部安装大量应用,在 Android Q
中就不得不进行大量的点击操作。

安卓系统有一项设定开关, 以防止从谷歌 Play 商店以外的应用程序被安装,
无论是个人Apk或通过第三方, 非oem应用商店。多年来,
谷歌已经降低了该开关的便利性,比如必须对每个试图安装未知应用进行授权,而不仅仅是通过一个开关来控制它们,
如上图所示。

不过一位名叫Y。 Shafranovich的安全研究员发现,在Android
8(Oreo)或更高版本上,通过NFC发送的应用不会显示这个提示信息。相反该通知将允许用户轻点一下就可以安装应用,而无需任何安全警告。

新的变化可能会对在意电量的用户造成困扰,但对于休闲用户来说,这将是安全性提升的更新。未知来源的应用的安装过程减缓可以给他们更多的思考时间,每次都会看到
“您的手机和个人数据更容易受到未知应用程序攻击” 的警告消息。

然而, 与此同时, 谷歌也让翻转这些开关变得有些方便。Android
将警告用户并将其带到适当的设置项进行更改, 而不必每次都要在 “设置”
应用中进行深挖。这几乎就是他们要做的, 但Android
Q将以细微的方式改变这种状况,不过这种改变的意义重大。

虽然缺少一个提示信息听起来并不重要,但这是安卓安全模型中的一个主要问题。安卓设备不允许安装来自“未知来源”的应用,因为任何从官方商店之外安装的应用都被认为是不可信和未经验证的。

该特性目前仅在测试版中出现,谷歌尚未公布是否会保留在正式版上

更改该设置通常会在您第一次更改它之后继续进行, 但基于最新的测试版, 下一个
Android 版本的情况可能并非如此。

如果用户想在官方商店之外安装应用,他们必须访问安卓操作系统的“安装来自未知来源应用”部分,并启用该功能。

(文/开源中国)    

每次系统提示并进行更改时, Android Q 都会恢复到不允许从未知来源进行安装。

在Android
8之前,这个“来自未知来源安装”选项是一个系统范围的设置,对所有应用都是一样的。但是,从Android
8开始,谷歌重新设计了这种机制,使其成为一种基于应用的设置。

将其固定成永久性更改的方式之一是,用户需要在不被提示的情况下进入设置修改选项。

在最新的Android版本中,用户可以访问安卓安全设置中的“安装未知应用”部分,并允许特定的应用安装其他应用。

这可能会惹恼那些经常从F-Droid这样未经核实的三方应用商店安装的用户,
但这样的用户总是可以自己做出改变。对于大多数用户来说,
在安装可能有害的应用之前, 可以给他们几秒钟的时间来暂停和思考。

CVE-2019-2114的错误在于,Android
Beam应用也被列入了白名单,获得了与官方应用同样程度的信任。

谷歌表示,这并不是有意为之,因为Android
Beam服务从来就不是用来安装应用的,而仅仅是用来在设备之间传输数据的。

2019年10月发布的安卓补丁将Android
Beam服务从可信来源的安卓操作系统白名单中移除。