28, июнь 2012  —  Корпорация Symantec сообщает о новом виде потенциальных угроз. Появление новой технологии NFC , которая обеспечивает беспроводный обмен данными, положило началу появлению новых мобильных приложений на ее базе, которые могут быть потенциально опасны. Приложение Android . Ecardgrabber способно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя.

Немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android , способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж.

Приложение Android , зарегистрированное компанией Symantec под именем Android . Ecardgrabber , производит попытку считывания данных с помощью протокола связи NFC (англ. Near Field Communication , стандарт ближней связи) — технологии, реализованной на новейших моделях смартфонов. Приложение было размещено на сервисе Google Play 13 июня; до удаления его успело скачать от 100 до 500 пользователей.

Что такое стандарт ближней связи NFC ?

Стандарт ближней связи NFC обеспечивает беспроводный обмен данными на коротком расстоянии. Подобные виды связи сегодня уже используются. В частности, некоторые банки выпустили бесконтактные карты для проезда в метрополитене. Существуют и другие подобные проекты.

Информация с официального сайта разработчиков для Android :

«Стандарт ближней связи NFC представляет собой набор беспроводных технологий ближней зоны, требующий для организации связи на расстоянии 4 см и менее. Стандарт NFC позволяет вести обмен небольшими объемами данных между маркером NFC и устройством под управлением Android , либо между двумя устройствами под управлением Android .»

Извлечение информации

Анализ кода Android . Ecardgrabber  показал, что автор совершил попытку извлечения информации из восьми различных систем пластиковых карт. Одна из систем показана далее:

По признанию самого автора, приложение было успешно протестировано только с двумя системами пластиковых карт, а разработка кода не доведена до конца.

Проведено тестирование следующих систем:

• MasterCard *
• A European credit card *
• Visa V Pay **
• Cirrus **
• Maestro **
• Visa Electron **
• Visa **

* Автором подтверждён успешный результат;

** Не подтверждено, но имеется в коде.

Специалистам Symantec не удалось заставить приложение считать данные с пластиковой карты — но ими была протестирована только польская карта Payless MasterCard , так что этот результат был вполне предсказуем.

Приложение может получать следующую информацию:

• Номер пластиковой карты;
• Дата начала срока действия карты;
• Дата окончания срока действия карты;
• Номер банковского счета.

Примечание:   в коде не обнаружено средств извлечения кода безопасности карты.

Несмотря на то, что для извлечения данных приложение требует от пользователя установки и поднесения бесконтактной пластиковой карты к телефону на расстояние не более 4 сантиметров, оно ярко иллюстрирует уязвимость этой развивающейся технологии. Несложно представить вирусное приложение, тихо существующее в виде фонового процесса на мобильном устройстве и потихоньку общающееся с вашей бесконтактной пластиковой карточкой в кошельке.

Стандарт ближней связи NFC – это новая технология, обещающая сделать жизнь проще и интерактивней, однако уже сейчас пользователям стоит задуматься о проблемах безопасности, о которых никогда не нужно забывать.