Symantec: технология NFC - новая эра угроз безопасности
28, июнь 2012 Корпорация Symantec сообщает о новом виде потенциальных угроз. Появление новой технологии NFC , которая обеспечивает беспроводный обмен данными, положило началу появлению новых мобильных приложений на ее базе, которые могут быть потенциально опасны. Приложение Android . Ecardgrabber способно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя. Немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android , способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж. Приложение Android , зарегистрированное компанией Symantec под именем Android . Ecardgrabber , производит попытку считывания данных с помощью протокола связи NFC (англ. Near Field Communication , стандарт ближней связи) — технологии, реализованной на новейших моделях смартфонов. Приложение было размещено на сервисе Google Play 13 июня; до удаления его успело скачать от 100 до 500 пользователей. Что такое стандарт ближней связи NFC ? Стандарт ближней связи NFC обеспечивает беспроводный обмен данными на коротком расстоянии. Подобные виды связи сегодня уже используются. В частности, некоторые банки выпустили бесконтактные карты для проезда в метрополитене. Существуют и другие подобные проекты. Информация с официального сайта разработчиков для Android : «Стандарт ближней связи NFC представляет собой набор беспроводных технологий ближней зоны, требующий для организации связи на расстоянии 4 см и менее. Стандарт NFC позволяет вести обмен небольшими объемами данных между маркером NFC и устройством под управлением Android , либо между двумя устройствами под управлением Android .» Извлечение информации Анализ кода Android . Ecardgrabber показал, что автор совершил попытку извлечения информации из восьми различных систем пластиковых карт. Одна из систем показана далее:
По признанию самого автора, приложение было успешно протестировано только с двумя системами пластиковых карт, а разработка кода не доведена до конца. Проведено тестирование следующих систем:
* Автором подтверждён успешный результат; ** Не подтверждено, но имеется в коде. Специалистам Symantec не удалось заставить приложение считать данные с пластиковой карты — но ими была протестирована только польская карта Payless MasterCard , так что этот результат был вполне предсказуем. Приложение может получать следующую информацию:
Примечание: в коде не обнаружено средств извлечения кода безопасности карты. Несмотря на то, что для извлечения данных приложение требует от пользователя установки и поднесения бесконтактной пластиковой карты к телефону на расстояние не более 4 сантиметров, оно ярко иллюстрирует уязвимость этой развивающейся технологии. Несложно представить вирусное приложение, тихо существующее в виде фонового процесса на мобильном устройстве и потихоньку общающееся с вашей бесконтактной пластиковой карточкой в кошельке. Стандарт ближней связи NFC – это новая технология, обещающая сделать жизнь проще и интерактивней, однако уже сейчас пользователям стоит задуматься о проблемах безопасности, о которых никогда не нужно забывать. |
|