Σημαντικά κενά ασφαλείας στην τεχνολογία NFC των Android και MeeGo smartphones

dimitris2006 · 26 Ιουλίου 2012

Μία νέα ευπάθεια που θα μπορούσε να βλάψει φορητές συσκευές που τρέχουν το λογισμικό του Android και του MeeGo αποκαλύφθηκε σήμερα από ερευνητή που παρουσίασε το έργο του στα πλαίσια του ετήσιου συνεδρίου ασφάλειας Black Hat. Οι επιθέσεις μπορούν να εκμεταλλευτούν ορισμένα κενά ασφαλείας στο πρότυπο του Near Field Communication γνωστό και ως NFC. Το NFC είναι μια σχετικά καινούργια τεχνολογία που ενσωματώνεται στα τελευταία smartphones και επιτρέπει τις ασύρματες πληρωμές και όχι μόνο απλά περνώντας τη συσκευή δίπλα από ένα ειδικό chip.Μέχρι στιγμής οι επιθέσεις του Charlie Miller έχουν δοκιμαστεί με επιτυχία σε Nokia και Samsung smartphones και ενεργοποιούνται όταν η συσκευή - στόχος πλησιάσει σε ένα NFC chip ή σε μία άλλη συσκευή που υποστηρίζει την ίδια τεχνολογία. Η επίθεση πραγματοποιείται ασύρματα και έχει τη δυνατότητα να ανοίξει μολυσμένα αρχεία ή ιστοσελίδες τα οποία στη συνέχεια εκμεταλλεύονται κενά ασφαλείας σε διάφορα apps όπως εφαρμογές ανάγνωσης εγγράφων ή ο browser.

Ο Miller είναι σύμβουλος σε ερευνητικό επίπεδο στην εταιρεία ασφαλείας Accuvant και έχει αξιοποιήσει τα τελευταία πέντε χρόνια στην ανίχνευση κενών ασφαλείας σε λογισμικό, έχοντας μέχρι τώρα ανακαλύψει ευπάθειες και σε άλλες πλατφόρμες και συσκευές όπως οι Mac υπολογιστές, τα iPhone και Android smartphones. Στο φετινό συνέδριο του Black Hat που πραγματοποιείται στο Λας Βέγκας έχει δώσει ιδιαίτερη βαρύτητα στην τεχνολογία NFC και συγκεκριμένα σε τρεις συσκευές: το Nexus S της Samsung, το Galaxy Nexus και το Nokia N9.

Οι περισσότερες από τις επιθέσεις του Miller που περιγράφτηκαν μπορούν να αξιοποιηθούν τοποθετώντας ένα chip σε κάποιο NFC τερματικό μηχάνημα ή κάποια άλλη συσκευή αυτής της τεχνολογίας. Οι μόνοι περιορισμοί για να καταστεί η επίθεση με επιτυχία είναι ότι η συσκευή πρέπει να είναι ξεκλείδωτη και ενεργή. Ο ερευνητής τονίζει ότι αυτοί οι περιορισμοί δε μπορούν να προσφέρουν οποιαδήποτε ασφάλεια καθώς αποτελούν απαραίτητες προϋποθέσεις για να εκτελεστεί μια συναλλαγή μέσω του προτύπου NFC.

Η επίσημη απάντηση της Nokia είναι ότι η ίδια λαμβάνει σοβαρά υπόψιν την ασφάλεια των προϊόντων της και ότι έχουν κινηθεί οι απαραίτητες διαδικασίες για να ερευνηθεί το κενό στη συσκευή Ν9. Η εταιρεία αναφέρει ότι είναι απίθανο να προκύψουν τέτοιες επιθέσεις σε ευρεία κλίμακα καθώς επίσης ότι δεν έχουν αναφερθεί πραγματικές επιθέσεις που να κάνουν χρήση της παραπάνω επίθεσης. Μέχρι στιγμής η Google δεν έχει τοποθετηθεί επί του ζητήματος.

Site: arstechnica.com

aiolos.01 · 26 Ιουλίου 2012

Είναι δεδομένο οτι σε θέματα που έχουν να κάνουν με λεφτά δεν πρέπει να είσαι early adopter γιατί στην ουσία κάνεις beta test με το πορτοφόλι σου.

copydisk · 26 Ιουλίου 2012

Get nfc they say. It is fast and secure they say

21century · 26 Ιουλίου 2012

Δεν το χρησιμοποιώ ευτυχώς στο nexus S οπότε είναι ξένοιαστος...

songless_bird · 26 Ιουλίου 2012

Και στο Ν9 πιο πολυ το χρησιμοποιεις για ανταλλαγη αρχειων και συνδεση περιφερειακων παρα συναλλαγες χρηματων.

Lomar · 10 Σεπτεμβρίου 2012

Διαγραφη.

Επεξ/σία 10 Σεπτεμβρίου 2012 από Lomar

kostas_dr · 10 Σεπτεμβρίου 2012

Τελικά υπάρχει κάτι, το οτιδήποτε, που να μην έχει κενά ασφαλείας;

DJTaurus · 30 Σεπτεμβρίου 2013

Ερευνητές εντόπισαν ένα νέο κενό ασφαλείας στο WebView του Android που ενδεχομένως να επηρεάζει ένα μεγάλο αριθμό συσκευών επιτρέποντας στους hackers να επιτίθενται σε αυτές που βρίσκονται στο ίδιο WiFi δίκτυο.

http://www.electronista.com/articles/13/09/27/some.apps.fail.to.properly.employ.ssl/