Перейти к содержанию
Viktor

Black Hat: NFC-Equipped Smartphones Vulnerable to Attack

Recommended Posts

Viktor
LAS VEGAS. Near Field Communication (NFC) is a short-range wireless technology that allows the latest generation of smart phones to communicate with other devices simply by placing them in close proximity to each other.

With NFC, the promise is that transactions with parking meters, snack machines, or anything else that requires payment or simple information transfer can be completed quickly and easily using nothing more than a mobile phone. In other words, the technology is likely to become a juicy target for hackers.

In front of a capacity crowd at the Black Hat security conference here in Las Vegas, security researcher Charlie Miller detailed and demonstrated new vulnerabilities in NFC. Currently, NFC is available on about 50 smart phones.

Miller explained that NFC is based on RFID and uses similar standards to that technology. The primary difference is that NFC is designed for close proximity with an operating range of about 4 centimeters.

"So lots of people think that no encryption is needed since no one will get that close," Miller said, as the audience laughed.

Miller then proceeded to show a number of videos of his own research in which he attempted to read an NFC card through a wallet that was sitting in another person's pocket. He referred to his actions as the wireless equivalent of credit card skimming.

NFC is only on when the phone is awake, Miller said. He added that's not really a problem as you can wake up a phone when it is asleep simply by sending a text message or a phone call and it wakes up the phone.

Miller noted that he ran at least 50,000 tests on the Galaxy Nexus to find NFC flaws. One of the NFC capabilities on Android is something known as Beam. In Android 4.0 (Ice Cream Sandwich), if you want to share a picture with another device it can be beamed over NFC. When sending, the sender has to click to send, but the recipient doesn't have to do anything. There are however only a limited number of applications that can receive Android Beam files and one of them is the default Android browser.

"So you could get near an NFC tag and then it could beam you a page link that shows up on your phone without interaction," Miller said. "For me, it's a little surprising that with a tag I can send you to a website."

Going a step further, the NFC Beam capability was then demonstrated to be somewhat more malicious when paired with a WebKit vulnerability in the Android browser. In the live demo, Miller demonstrated how simply receiving the web page could then trigger a Webkit browser flaw that enabled him to get full root shell access on an Android phone.

"It's a webkit bug, not an NFC bug and the real attack is the browser," Miller stressed. "But before you push a web page to me, for God's sake give me the option to say no."

Miller noted that NFC opens up a whole new attack surface for attackers. In a bid to help researcher and NFC vendors, Miller today is also releasing the tools he used to find bugs in the Android NFC implementation.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Объясните человеку из деревни, что за зверь NFC и зачем он вообще нужен. :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Объясните человеку из деревни

Недеюсь, ты не про себя?! :)

P.S. Для людей из деревни есть специальный ресурс: http://en.wikipedia.org/wiki/Near_field_communication :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
    • Mawa27
      Здравствуйте)Я довольно часто заказываю букеты, так как живу далеко от своих родственников и единственным вариантом их поздравить остается букет на заказ. Чаще всего пользуюсь фирмой https://kvitochka.kiev.ua/ .У них очень оригинальные и красивые букеты, особенно люблю те, что в коробках. Смотрятся очень стильно и при этом красиво.Так что рекомендую вам)
    • Sawa26
      Где заказать шикарный букет цветов?
×