Известный эксперт рассказал, как взломать технологию бесконтактных платежей NFC
26 июля 2012 года
Известный эксперт Чарли Миллер на проходящей в Лас-Вегасе хакерской конференции Black Hat 2012 представил концепцию взлома набирающей популярность технологии беспроводной передачи данных NFC, используемой для проведения платежей, покупки электронных билетов, совершения других финансовых транзакций, а также для передачи данных от устройства к устройству.
В своей презентации, как сообщает CyberSecurity.ru, Миллер представил собравшимся Android-устройство, компрометируемое при помощи перехвата данных заголовков. Миллер говорит, что сейчас все NFC-устройства инициализируют NFC-сессию одинаково и соединение здесь представляет разновидность связи типа "точка-точка".
Однако, ввиду бесплатной природы соединения, атакующий может подменить устройство-приемник и изменить служебные данные терминала, чтобы атакующие данные были переданы без какого-либо уведомления, а это позволяло хакеру перехватывать платежную информацию, так как пользовательское устройство считает, что общается с легитимным считывателем.
В ходе второй демонстрации Миллер представил способ взлома соединений NFC и компонентов Bluetooth на смартфоне Nokia N9. Данная атака позволяет активировать приемную систему смартфона и установить на нем любые файлы, а потом исполнить их. В демонстрации Миллер запустил презентацию PowerPoint, но в реальности хакер может таким же способом подсадить на аппарат программу-шпион.
По словам Миллера, оба способа он разрабатывал несколько месяцев и обе атаки имеют существенное ограничение: хакерское оборудование должно быть размещено буквально в нескольких сантиметрах от пользовательского устройства, так как радиус действия излучения NFC составляет 10-20 см.
Тем не менее, IT-консультант говорит, что обе атаки - это фундаментальные уязвимости в технологии NFC и производителям устройств следует серьезно отнестись к данным угрозам.
Чарли Миллер - победитель Safari, iPhone и iPad
Сотрудник компании Accuvant Labs Чарли Миллер - один из самых известных в мире экспертов в области IT-безопасности. В частности, в прошлом году он обнаружил в коде операционной системы iPhone и iPad серьезную уязвимость, за что тут же лишился лицензии разработчика приложений для Apple.
Обнаруженная Миллером уязвимость позволяла загружать и исполнять вредоносный код, даже несмотря на то, что Apple использует специальную технологию "подписанных" строчек кода, которая позволяет разработчикам приложений использовать лишь те программные команды, которые одобрили администраторы Apple. Компания даже выпустила внеочередное обновление, чтобы закрыть обнаруженную Миллером "дыру", хотя обычно она не торопится и выпускает обновления безопасности в пакете с другими обновлениями раз в несколько месяцев.
Ранее Миллер одним из первых взломал браузер Safari и первым обнаружил уязвимость в iPhone, которую злоумышленники могут эксплуатировать удаленно. С ее помощью можно было похищать текстовые сообщения, информацию из списка контактов, историю вызовов и сообщения голосовой почты. Миллер утверждает, что за последние годы он обнаружил десятки уязвимостей в платформах iOS и Mac OS X.
В июне этого года Миллер вместе со своим коллегой Джоном Оберхайдом продемонстрировал способ обхода Bouncer - автоматической системы защиты от вредоносного ПО в магазине приложений Google Play для платформы Android. Миллер и Оберхайд утверждают, что обнаружили еще несколько "дыр", которые теоретически могут помочь злоумышленникам обойти антивирусную защиту Google Play.
NFC: телефон вместо банковской карты
Технология NFC (Near Field Communication) обеспечивает обмен информацией между устройствами на небольших (несколько сантиметров) расстояниях, используя имеющиеся стандарты бесконтактной передачи данных. NFC является развитием стандарта ISO/IEC 14443, описывающего параметры пассивных (лишенных собственного источника электропитания) бесконтактных карт - такие карты используются, например, в проездных билетах в метро.
Первой попыткой создать полноценную платежную систему на основе NFC стал сервис Google Wallet, пока, правда, не добившийся особых успехов в интеграции традиционных "карточных" и бесконтактных платежей. В 2012 году американские сотовые операторы Verizon Wireless, AT&T и T-Mobile USA также обещают запустить совместную платформу для мобильных платежей Isis. Ранее собственные NFC-платформы грозились запустить Visa и платежная система PayPal.
NFC использует более совершенную технологию авторизации, чем нынешние банковские карты, но для настоящей популярности технологии ее поддержка также должна быть и на стороне продавца товара или услуги, поэтому пока что об этом вряд ли можно говорить.
Многие эксперты, тем не менее, надеются, что со временем устройства с поддержкой NFC станут альтернативой кредитным картам, бумажным билетам и разного рода купонам. Сейчас же разработчики пытаются приспособить устройства c NFC для других целей.
Так, в прошлом году Nokia и Angry Birds организовали игру, участники которой получали призы за найденные NFC-метки, а весной этого года компании NXP Semiconductors и HID Global выпустили систему идентификации Mobile Access с использованием как интеграции электронных карт-пропусков, так и NFC-телефонов.
NXP Semiconductors, в прошлом подразделение Philips, недавно также предложила оснащать модулями NFC стиральные машины. При помощи смартфона, оснащенного NFC, специалист может проводить диагностику интеллектуальной стиральной машины, изменять ее состояние и запускать приложение, которое будет обмениваться данными непосредственно с центром техобслуживания.
В этом месяце компания Samsung нашла еще одно применение NFC, выпустив на рынок СЩА и Канады стикеры TecTiles, которые существенно расширят функционал мобильных устройств. С их помощью, помимо прочего, можно быстро изменить настройки смартфона, открыть ссылку, подключиться к сети Wi-Fi, войти в ту или иную соцсеть, поставить "лайк" или отправить "твит".
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.