Hlavní navigace

NFC v Androidu a Meego má bezpečnostní problém

Daniel Dočekal 25. 7. 2012

Podle Charlie Millera je možné prostřednictvím NFC ovládnout mobil, který se nachází v dosahu NFC. Android a MeeGo jsou prý tímto způsobem napadnutelné a Miller to předvedl na Galaxy Nexus/Nexus S a Nokia N9 na Black Hat konferenci v Las Vegas.  V případě Galaxy Nexus/Nexus S využívá Miller problémů s narušením paměti, s pomocí těchto chyb pak získá kontrolu nad NFC démonem. A s trochou práce navíc, tvrdí Miller, je tuto cestu možné použít k spuštění vlastního kódu na cizím telefonu. Nejvíce…

Podle Charlie Millera je možné prostřednictvím NFC ovládnout mobil, který se nachází v dosahu NFC. Android a MeeGo jsou prý tímto způsobem napadnutelné a Miller to předvedl na Galaxy Nexus/Nexus S a Nokia N9 na Black Hat konferenci v Las Vegas. 

V případě Galaxy Nexus/Nexus S využívá Miller problémů s narušením paměti, s pomocí těchto chyb pak získá kontrolu nad NFC démonem. A s trochou práce navíc, tvrdí Miller, je tuto cestu možné použít k spuštění vlastního kódu na cizím telefonu. Nejvíce děravý je Gingerbread, předchozí verze Androidu (Ice Cream Sandwich) má prý některé z chyb již opravené. Hodně zajímavě působí i možnost využít NFC k tomu, aby se na napadeném stroji otevřela jakákoliv webová stránka v prohlížeči. Stejně tak může být problematické to, že dojde k stažení  jakéhokoliv souboru, která je poslán z jednoho mobilu na druhý. 

Podobně problematické je NFC na Nokia N9, které přijme jakýkoliv obsah a požadavky, aniž by uživatel musel cokoliv potvrdit. Miller navíc ukázal, že pomoci NFC je možné N9 přinutit k telefonování, posílání textových zpráv i stahování a nahrávání souborů, včetně kontaktů. V některých případech (podle toho jak má uživatel telefon nastavený) se navíc nahrané soubory automaticky otevřou. Což v praxi znamená, že je možné zneužít bezpečnostních chyb v dalších aplikacích.

Aby uváděné útoky mohly být využity, musí být na telefonu aktivní obrazovka a telefon musí být odemčený. V praxi je toto omezení ale poměrně nedostačující, útočník může snadno dosáhnout potřebného stavu například posláním SMS nebo zavoláním na cílový telefon. Nebo prostě využít okamžiku, kdy někdo telefon používá.

Zdroj: Android, Nokia smartphone security toppled by Near Field Communication hack

Našli jste v článku chybu?

25. 7. 2012 19:59

Ano, omlouvám se, příště budu věnovat více pozornosti schopnostem čtenářů. Moje chyba, přeceňuji je.

25. 7. 2012 19:51

Ne, to zcela jistě nepředchází, Poslední JB, předchozí verze ICS. Snadné, i na to že je středa.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Jste stále nemocní? Chybí vám zinek

Jste stále nemocní? Chybí vám zinek

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?