安全顧問團隊NightWatch Cyber​​security日前警告，Android 8（Oreo）以後的版本含有一個近場通信（NFC）漏洞，將允許附近的黑客於Android手機上植入惡意程序。

Google已經在今年10月修補了該編號爲CVE-2019-2114的安全漏洞，但只把它列爲高風險（High）漏洞，也未說明漏洞細節，它攸關NFC功能的默認權限，將允許黑客繞過與用戶​​之間的某些交互，提高安裝惡意程序的機會。

NightWatch Cyber​​security說明，在Android 8之前的操作系統有一個設置，激活後將允許用戶自Google Play以外的來源安裝任何程序，但Google於Android 8變更了該政策，要求每個程序都必須取得用戶的同意，才能安裝不明來源的程序，只是該政策有些例外，讓某些內置的系統程序自動被列入白名單，不需徵求用戶同意就能自任何來源安裝程序，例如Drive或NFC Service。

這意味着假設用戶的手機支持NFC，而且激活了可讓兩支Android手機互相交換數據的Android Beam功能，那麼黑客就能借由Android Beam發送一個APK到附近的Android設備上，受害者只要按下接收完成（Beam completed）的通知，再點擊所收到的文件，那麼文件就會自動安裝，不會再顯示“是否安裝不明程序”的警告。

假設Android用戶無法安裝10月更新，也可以簡單地關閉Android Beam功能或是把Android Beam自白名單中移除即可。