Перейти к содержанию
Viktor

Black Hat: NFC-Equipped Smartphones Vulnerable to Attack

Recommended Posts

Viktor
LAS VEGAS. Near Field Communication (NFC) is a short-range wireless technology that allows the latest generation of smart phones to communicate with other devices simply by placing them in close proximity to each other.

With NFC, the promise is that transactions with parking meters, snack machines, or anything else that requires payment or simple information transfer can be completed quickly and easily using nothing more than a mobile phone. In other words, the technology is likely to become a juicy target for hackers.

In front of a capacity crowd at the Black Hat security conference here in Las Vegas, security researcher Charlie Miller detailed and demonstrated new vulnerabilities in NFC. Currently, NFC is available on about 50 smart phones.

Miller explained that NFC is based on RFID and uses similar standards to that technology. The primary difference is that NFC is designed for close proximity with an operating range of about 4 centimeters.

"So lots of people think that no encryption is needed since no one will get that close," Miller said, as the audience laughed.

Miller then proceeded to show a number of videos of his own research in which he attempted to read an NFC card through a wallet that was sitting in another person's pocket. He referred to his actions as the wireless equivalent of credit card skimming.

NFC is only on when the phone is awake, Miller said. He added that's not really a problem as you can wake up a phone when it is asleep simply by sending a text message or a phone call and it wakes up the phone.

Miller noted that he ran at least 50,000 tests on the Galaxy Nexus to find NFC flaws. One of the NFC capabilities on Android is something known as Beam. In Android 4.0 (Ice Cream Sandwich), if you want to share a picture with another device it can be beamed over NFC. When sending, the sender has to click to send, but the recipient doesn't have to do anything. There are however only a limited number of applications that can receive Android Beam files and one of them is the default Android browser.

"So you could get near an NFC tag and then it could beam you a page link that shows up on your phone without interaction," Miller said. "For me, it's a little surprising that with a tag I can send you to a website."

Going a step further, the NFC Beam capability was then demonstrated to be somewhat more malicious when paired with a WebKit vulnerability in the Android browser. In the live demo, Miller demonstrated how simply receiving the web page could then trigger a Webkit browser flaw that enabled him to get full root shell access on an Android phone.

"It's a webkit bug, not an NFC bug and the real attack is the browser," Miller stressed. "But before you push a web page to me, for God's sake give me the option to say no."

Miller noted that NFC opens up a whole new attack surface for attackers. In a bid to help researcher and NFC vendors, Miller today is also releasing the tools he used to find bugs in the Android NFC implementation.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Объясните человеку из деревни, что за зверь NFC и зачем он вообще нужен. :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Объясните человеку из деревни

Недеюсь, ты не про себя?! :)

P.S. Для людей из деревни есть специальный ресурс: http://en.wikipedia.org/wiki/Near_field_communication :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Kuisa
      Посмотреть подходящие приложения здесь сейчас можно https://anderbot.com/android/radio-maximum/ Это замечательный сайт во всех смыслах, который как раз может вам пригодиться, так что изучить его как минимум рекомендую.
    • Bases
      Регулярное обновление! Партнерская программа!
    • gromm
      Компания Телетрейд уже более 20 лет на рынке! Она зарекомендовала себя как современная компания, которая оказывает посреднические услуги на актуальных финансовых рынках. Убедитесь сами здесь https://teletraderu.com/2018/03/29/otzyvy-teletrejd-krasnodar-vsya-pravda-o-brokere-1-v-vashem-gorode/  . Авторитет данной компании с каждым годом лишь растёт! Можете сами убедиться, сотрудничая с Телетрейд!
    • potopa
      А мне вот интересно, если вы работает учителем, у вас есть свой сайт? Я вот, например, работаю учителем и у меня есть свой сайт. Как по мне, именно учителю он нужен обязательно. Ведь сайт позволит родителям и ученикам быть на связи, к тому же расскажет о вас, как о профессионале, а это очень важно. Вы сможете добавлять на сайт ваши достижения и много другой информации. Если вы захотите обзавестись тоже сайтом учителя, не пугайтесь, самому его создавать не нужно, это трудно. Его без проблем можно сделать в конструкторе, уже есть готовый шаблон. Вот здесь, например, можете создать сайт учителя бесплатно. Лично я в этом конструкторе создавал. Там все просто, любой справиться, на сайте найдете подробную инструкцию. Так что создавайте свой сайт и успехов вам в преподавании))
    • gromm
      Выбор кровельного материала для крыши своего дома не такое уж простое задание, потому что как правило крыша делается на десятки лет. Я вот в выборе материала не ошибся, когда выбрал черепицу . Приобрел ее по выгодной цене на сайте: https://stalintex.ru/catalog/metallocherepitsa-monterrey/  , через который также нанял бригаду монтажников. Они мне и сделали красивую и качественную крышу.
×