标签: NFC

Safari 现支持 NFC、USB 和 Lightning FIDO2 兼容的安全密钥

在面向开发者和公测用户的iOS 13.3版本更新中,允许Safari浏览器支持NFC、USB和Lightning FIDO2兼容的安全密钥。该功能事实上在iOS 13.3的首个开发者Beta版本中已经启用,不过在今天发布的Beta 2提供了更详细的信息。在苹果官方支持文档中写道:“现在在具备必要硬件功能的设备上,Safari、SFSafariViewController、以及使用WebAuthn标准的ASWebAuthenticationSession中支持NFC、USB和Lightning FIDO2兼容的安全密钥。” 在iOS 13.3更新中,Safari将支持物理安全密钥,例如配备了Lightning的YubiKey,可用于更安全的两因素身份验证。Yubico早在8月份就宣布了YubiKey 5Ci,但在发布之时,它的功能有限,因为它虽然不能与Safari,Chrome或其他主要浏览器一起使用,但兼容1Password等应用。 在得到Safari的支持之后,YubiKey 5Ci就成为了一个合法有用的工具。由于不需要输入安全密码,因此它比基于软件的双因素身份认证更方便,你只需要将它插入到iPhone或者Mac设备上就能完成身份认证。在macOS的Safari 13此前已经添加了对使用WebAuthn的FIDO2兼容USB安全密钥的支持。 在iOS 13.3更新之后,其他基于NFC,USB和基于Lightning的安全密钥也将与Safari一起使用。目前尚不清楚iOS 13.3何时正式发布,不过在经过数周的Beta测试之后我们有望在12月看到正式版。   (稿源:cnBeta,封面源自网络。)

Android NFC 漏洞可被黑客拿来传播植入恶意软件

ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。 据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。 (截图 via ZDNet) 这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。 通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。 然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。 相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。 尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。 庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。 “未知来源”的定义,特指通过官方 Play 商店之外安装的任何东西,其默认都被视为不受信任和未经验证。 若用户需要侧载外部应用,必须前往设置菜单,然后手动启用“允许从未知来源安装应用”。 Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。 在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。 谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。 即便如此,该公司还是在 2019 年 10 月的 Android 安全补丁中,将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。 (图自:LG)   对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。   (稿源:cnBeta,封面源自网络。)