Новая узявимость Android: атака через NFC
Исследователи из компании MWR Labs наглядно продемонстрировали на конференции EUSecWest, прошедшей 19–20 сентября в Амстердаме, новую уязвимость мобильной платформы Android.
Через NFC–соединение специалистам MWR Labs удалось передать между двумя смартфонами Samsung Galaxy S III вредоносный файл, представляющий собой эксплойт нулевого дня. Самозапускающийся эксплойт позволил установить полный контроль над принимающим устройством. Хакер мог выполнить произвольный код и получил доступ к SMS–сообщениям, изображениям, контакт–листам и другой информации, хранящейся на смартфоне.
NFC – технология бесконтактного обмена данными с малым (2–10 см) радиусом действия – становится всё более популярным методом платежей, легко превращая мобильник в кредитную карту или электронный кошелек. Для осуществления платежа через NFC нужно только поднести телефон к считывателю в турникете, киоске или просто в постере на стене.
К сожалению, быстрое распространение NFC привело к тому, что мобильные телефоны приобрели ряд уязвимостей, присущих новой технологии.
«Разработчики NFC допустили ряд ошибок, которыми сейчас с удовольствием пользуются злоумышленники, – комментируют эксперты eScan в России и странах СНГ. – Например, киберпреступники могут создавать некорректные NFC–сообщения, отключающие считывающий их телефон, передавать через NFC вредоносные ссылки и файлы, а также подменять NFC–метки на ложные, что ведёт к незаконным списаниям денег со счетов пользователей».
Для предотвращения атак, подобных продемонстрированной MWR Labs, необходимо, чтобы полученный через NFC файл передавался приложению на телефоне только после дополнительного потверждения пользователем. Возможно, в будущем производители мобильных телефонов реализуют опцию такого подтверждения и включат её в настройках телефона по умолчанию. Такая же опция необходима, чтобы пользователь четко видел ссылку, полученную через NFC, и потверждал переход по ней. Кроме того, эксперты eScan рекомендуют пользователям NFC–аппаратов делать платежи только через доверенные метки.