Global Look Press
Известный эксперт Чарли Миллер на проходящей в Лас-Вегасе хакерской конференции Black Hat 2012 представил концепцию взлома набирающей популярность технологии беспроводной передачи данных NFC, используемой для проведения платежей, покупки электронных билетов, совершения других финансовых транзакций, а также для передачи данных от устройства к устройству.

В своей презентации, как сообщает CyberSecurity.ru, Миллер представил собравшимся Android-устройство, компрометируемое при помощи перехвата данных заголовков. Миллер говорит, что сейчас все NFC-устройства инициализируют NFC-сессию одинаково и соединение здесь представляет разновидность связи типа "точка-точка".

Однако, ввиду бесплатной природы соединения, атакующий может подменить устройство-приемник и изменить служебные данные терминала, чтобы атакующие данные были переданы без какого-либо уведомления, а это позволяло хакеру перехватывать платежную информацию, так как пользовательское устройство считает, что общается с легитимным считывателем.

В ходе второй демонстрации Миллер представил способ взлома соединений NFC и компонентов Bluetooth на смартфоне Nokia N9. Данная атака позволяет активировать приемную систему смартфона и установить на нем любые файлы, а потом исполнить их. В демонстрации Миллер запустил презентацию PowerPoint, но в реальности хакер может таким же способом подсадить на аппарат программу-шпион.

По словам Миллера, оба способа он разрабатывал несколько месяцев и обе атаки имеют существенное ограничение: хакерское оборудование должно быть размещено буквально в нескольких сантиметрах от пользовательского устройства, так как радиус действия излучения NFC составляет 10-20 см.

Тем не менее, IT-консультант говорит, что обе атаки - это фундаментальные уязвимости в технологии NFC и производителям устройств следует серьезно отнестись к данным угрозам.

Чарли Миллер - победитель Safari, iPhone и iPad

Сотрудник компании Accuvant Labs Чарли Миллер - один из самых известных в мире экспертов в области IT-безопасности. В частности, в прошлом году он обнаружил в коде операционной системы iPhone и iPad серьезную уязвимость, за что тут же лишился лицензии разработчика приложений для Apple.

Обнаруженная Миллером уязвимость позволяла загружать и исполнять вредоносный код, даже несмотря на то, что Apple использует специальную технологию "подписанных" строчек кода, которая позволяет разработчикам приложений использовать лишь те программные команды, которые одобрили администраторы Apple. Компания даже выпустила внеочередное обновление, чтобы закрыть обнаруженную Миллером "дыру", хотя обычно она не торопится и выпускает обновления безопасности в пакете с другими обновлениями раз в несколько месяцев.

Ранее Миллер одним из первых взломал браузер Safari и первым обнаружил уязвимость в iPhone, которую злоумышленники могут эксплуатировать удаленно. С ее помощью можно было похищать текстовые сообщения, информацию из списка контактов, историю вызовов и сообщения голосовой почты. Миллер утверждает, что за последние годы он обнаружил десятки уязвимостей в платформах iOS и Mac OS X.

В июне этого года Миллер вместе со своим коллегой Джоном Оберхайдом продемонстрировал способ обхода Bouncer - автоматической системы защиты от вредоносного ПО в магазине приложений Google Play для платформы Android. Миллер и Оберхайд утверждают, что обнаружили еще несколько "дыр", которые теоретически могут помочь злоумышленникам обойти антивирусную защиту Google Play.

NFC: телефон вместо банковской карты

Технология NFC (Near Field Communication) обеспечивает обмен информацией между устройствами на небольших (несколько сантиметров) расстояниях, используя имеющиеся стандарты бесконтактной передачи данных. NFC является развитием стандарта ISO/IEC 14443, описывающего параметры пассивных (лишенных собственного источника электропитания) бесконтактных карт - такие карты используются, например, в проездных билетах в метро.

Первой попыткой создать полноценную платежную систему на основе NFC стал сервис Google Wallet, пока, правда, не добившийся особых успехов в интеграции традиционных "карточных" и бесконтактных платежей. В 2012 году американские сотовые операторы Verizon Wireless, AT&T и T-Mobile USA также обещают запустить совместную платформу для мобильных платежей Isis. Ранее собственные NFC-платформы грозились запустить Visa и платежная система PayPal.

NFC использует более совершенную технологию авторизации, чем нынешние банковские карты, но для настоящей популярности технологии ее поддержка также должна быть и на стороне продавца товара или услуги, поэтому пока что об этом вряд ли можно говорить.

Многие эксперты, тем не менее, надеются, что со временем устройства с поддержкой NFC станут альтернативой кредитным картам, бумажным билетам и разного рода купонам. Сейчас же разработчики пытаются приспособить устройства c NFC для других целей.

Так, в прошлом году Nokia и Angry Birds организовали игру, участники которой получали призы за найденные NFC-метки, а весной этого года компании NXP Semiconductors и HID Global выпустили систему идентификации Mobile Access с использованием как интеграции электронных карт-пропусков, так и NFC-телефонов.

NXP Semiconductors, в прошлом подразделение Philips, недавно также предложила оснащать модулями NFC стиральные машины. При помощи смартфона, оснащенного NFC, специалист может проводить диагностику интеллектуальной стиральной машины, изменять ее состояние и запускать приложение, которое будет обмениваться данными непосредственно с центром техобслуживания.

В этом месяце компания Samsung нашла еще одно применение NFC, выпустив на рынок СЩА и Канады стикеры TecTiles, которые существенно расширят функционал мобильных устройств. С их помощью, помимо прочего, можно быстро изменить настройки смартфона, открыть ссылку, подключиться к сети Wi-Fi, войти в ту или иную соцсеть, поставить "лайк" или отправить "твит".