El agujero fue parcheado el pasado mes de octubre, pero los problemas iniciales fueron detectados en enero por un investigador que llamó la atención sobre el hecho de que Android Beam para Android 8 y versiones posteriores no mostraba una ventana mostrando si quería instalar una aplicación desde fuentes desconocidas vía NFC.
El origen del fallo tiene que ver con el cambio en la gestión de permisos de instalación de archivos APK procedentes de fuentes desconocidas para el sistema. Este parámetro pasó a ser individual en lugar de global a partir de Oreo (Android 8). Por algún motivo, Android Beam, que según ZDNet "nunca fue diseñado como un método para instalar aplicaciones, sino simplemente para transferir datos de dispositivo a dispositivo", aparecía en la lista de aplicaciones en la lista blanca. Esto quiere decir que las aplicaciones enviadas a través del servicio no solicitaban permisos adicionales ni mostraban ventanas de alerta.
Según la descripción del bug, la instalación mediante NFC se realizaba con tan solo pulsar la notificación emergente; un aviso que mucha gente puede confundir con un mensaje de actualización o que simplemente puede tocar por pura inercia.
Por ahora no hay constancia de que este bug haya sido explotado con fines maliciosos. Sea como fuere, los usuarios de un teléfono con Android 8 o posterior deberían tener instalada la última versión del servicio para evitar riesgos innecesarios. Como medida de protección adicional (y muy recomendable en cualquier caso), las personas que no utilicen una conexión NFC para realizar pagos sin contacto o asociar rápidamente dispositivos inalámbricos pueden desconectarla manualmente desde las opciones de Android.