Παρασκευή 29 Μαρτίου 2024
weather-icon 21o
Επίδειξη χάκινγκ μέσω NFC σε smartphone με Android

Επίδειξη χάκινγκ μέσω NFC σε smartphone με Android

Ο Τσάρλι Μίλερ βάζει ξανά το μαύρο του καπέλο, και επιδεικνύει μπροστά στα μάτια 6.500 συνέδρων τι πάει στραβά με τα τσιπ NFC σε smartphone με Android και το Android Beam. Κατάφερε να κατευθύνει τον χρήστη σε έναν δικτυακό τόπο με «βρώμικο» λογισμικό, με το οποίο μπορούσε να καταγράφει τις διαδικτυακές επισκέψεις του χρήστη και να διαβάσει τα cookie του.

Ο Τσάρλι Μίλερ βάζει ξανά το μαύρο του καπέλο, και επιδεικνύει μπροστά στα μάτια 6.500 συνέδρων τι πάει στραβά με τα τσιπ NFC σε smartphone με Android και Android Beam (που υποστηρίζεται από την έκδοση Ice Cream Sandwich). Κατάφερε να κατευθύνει το τηλέφωνο σε έναν δικτυακό τόπο με «βρώμικο» λογισμικό, με το οποίο μπορούσε να καταγράφει τις διαδικτυακές επισκέψεις του χρήστη και να διαβάσει τα cookie του, περνώντας απαρατήρητος.

Τον Τσάρλι Μίλερ τον γνωρίζουμε από παλιά, όταν έδειχνε ως «Independent Security Evaluator» το Hacking on Leopard και επιδείκνυε από το βήμα του συνεδρίου Black Hat πως θα χάκευε το iPhone, λίγο καιρό από την κυκλοφορία του πρώτου μοντέλου. Επίσης, εργάστηκε επί πέντε χρόνια στην Υπηρεσία Εθνικής Ασφάλειας στις ΗΠΑ (NSA) στο αντικείμενό του, το χάκινγκ.

Τώρα, την τιμητική του έχει το Android. O Μίλερ είναι σήμερα σύμβουλος για θέματα ασφάλειας στην εταιρεία Accuvant και στο συνέδριο Black Hat που διεξάγεται αυτές τις ημέρες στο Λας Βέγκας αναφέρθηκε σε πολλά, εναλλακτικά σενάρια επιθέσεων στο δημοφιλές λειτουργικό σύστημα έξυπνων κινητών τηλεφώνων. Στην μελέτη του, υπό τον τίτλο «Don’t Stand So Close to Me: An Analysis of the NFC Attack Surface,» δίνει έμφαση στην διαρκώς αυξανόμενη διάδοση της χρήσης των τσιπ NFC, μιας τεχνολογίας ασύρματης μετάδοσης δεδομένων μεταξύ πομποδεκτών που δεν απέχουν περισσότερο από μερικά εκατοστά. Ο επιτιθέμενος αντικαθιστά το tag στην αφίσα μιας κινηματογραφικής ταινίας. Αντί να οδηγήσει το smartphone του αναγνώστη στο τρέιλερ της ταινίας, το νέο tag τον παραπέμπει σε έναν δικτυακό τόπο που φιλοξενεί malware, για να τεθεί υπό τον έλεγχο του επιτιθέμενου. Ο επίδοξος απρόσκλητος επισκέπτης μπορεί να μεθοδεύσει την αντικατάσταση NFC tag ακόμα και δίπλα στο ταμείο, είπε ο γνωστός ερευνητής.

  • Τα smartphone δεν θα πρέπει να αναλαμβάνουν δράση με βάση την επικοινωνία μέσω NFC, είπε. Αντ’αυτού, θα πρέπει να δείχνουν στον χρήστη τι πρόκειται να πράξουν και να ζητούν την συναίνεσή του, πρότεινε.
  • Ένα από τα κενά ασφάλειας που εντόπισε ο Μίλερ είναι ότι οι κερκόπορτες παραμένουν ανοικτές, παρά το γεγονός ότι συχνά οι εταιρείες ανάπτυξης των λειτουργικών συστημάτων και λογισμικού τις κλείνουν γρήγορα. Όμως, τα patch δεν προωθούνται από τα δίκτυα κινητής τηλεφωνίας ή/και τους κατασκευαστές ταυτόχρονα με την διαθεσιμότητά τους αλλά καθυστερούν, όπως άλλωστε συμβαίνει και με τις ενημερώσεις λογισμικού που προσθέτουν νέες δυνατότητες στα smartphone.

Πάντως, οι συσκευές με NFC είναι προστατευμένες όταν η οθόνη είναι απενεργοποιημένη, ή όταν είναι κλειδωμένες και τα smartphone πρέπει να είναι σε απόσταση μερικών εκατοστών, επεσήμανε ο Τσάρλς Μίλερ.

Ο προσκεκλημένος ομιλητής δεν περιορίστηκε όμως στα Android. To CNet.com μεταφέρει ότι ο Μίλερ έχει εντοπίσει προβλήματα με την επικοινωνία NFC και στο Nokia N9 με λειτουργικό MeeGo: Εάν οι προεπιλεγμένες ρυθμίσεις της συσκευής παραμείνουν ενεργές, το MeeGo επιτρέπει σε μια άλλη συσκευή να αποδεχτεί την ζεύξη με το N9 μέσω Bluetooth με τον ΝFC Reader, ακόμα και όταν το Bluetooth είναι απενεργοποιημένο. Η λειτουργία αυτή σχεδιάστηκε ώστε να επιτρέψει την επικοινωνία με άλλες συσκευές NFC, όπως ασύρματα ηχεία. Θέτει όμως σε κίνδυνο το τηλέφωνο και τα δεδομένα που τηρούνται σε αυτό μέσω μιας «συνηθισμένης» επίθεσης Bluetooth, επιτρέποντας σε τρίτους να πραγματοποιήσουν κλήσεις, να στείλουν μηνύματα και να κατεβάσουν δεδομένα, μεταδίδει το CNet.

Ο ερευνητής έχει γνωστοποιήσει τα αποτελέσματα της μελέτης του σε Google και Nokia, οι οποίες επιβεβαίωσαν την παραλαβή της, δεν συζήτησαν όμως μαζί του. To iPhone δεν έχει NFC, εικάζεται όμως ότι το επόμενο μοντέλο, θα φέρει το ολοένα πιο δημοφιλές τσιπ.

  • Στο Black Hat 2012 στις ΗΠΑ συμμετέχουν και Έλληνες ερευνητές, όπως ο Πάτροκλος Αργυρούδηςκαι ο Χαρίτων Καραμήτας (Census Inc), oι οποίοι αποκαλύπτουν κενά ασφάλειας στο jemalloc για την δυναμική απόδοση μνήμης που χρησιμοποιείται όχι μόνο στον Firefox αλλά και από εξαιρετικά δημοφιλείς υπηρεσίες όπως το Facebook.

Reuters,In.gr Τεχνολογία

Sports in

Νέα ήττα για Μπακς - Συνεχίζει ασταμάτητος και… μόνος ο Αντετοκούνμπο (107-100)

Οι Μπακς ηττήθηκαν από τους Πέλικανς (107-100) και πλέον πιέζονται έντονα από Νικς και Καβαλίερς για τη δεύτερη θέση στην Ανατολή.

Ακολουθήστε το in.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

in.gr | Ταυτότητα

Διαχειριστής - Διευθυντής: Λευτέρης Θ. Χαραλαμπόπουλος

Διευθύντρια Σύνταξης: Αργυρώ Τσατσούλη

Ιδιοκτησία - Δικαιούχος domain name: ΑΛΤΕΡ ΕΓΚΟ ΜΜΕ Α.Ε.

Νόμιμος Εκπρόσωπος: Ιωάννης Βρέντζος

Έδρα - Γραφεία: Λεωφόρος Συγγρού αρ 340, Καλλιθέα, ΤΚ 17673

ΑΦΜ: 800745939, ΔΟΥ: ΦΑΕ ΠΕΙΡΑΙΑ

Ηλεκτρονική διεύθυνση Επικοινωνίας: in@alteregomedia.org, Τηλ. Επικοινωνίας: 2107547007

Παρασκευή 29 Μαρτίου 2024