Hlavní navigace

NFC v Androidu a Meego má bezpečnostní problém

Daniel Dočekal

Podle Charlie Millera je možné prostřednictvím NFC ovládnout mobil, který se nachází v dosahu NFC. Android a MeeGo jsou prý tímto způsobem napadnutelné a Miller to předvedl na Galaxy Nexus/Nexus S a Nokia N9 na Black Hat konferenci v Las Vegas.  V případě Galaxy Nexus/Nexus S využívá Miller problémů s narušením paměti, s pomocí těchto chyb pak získá kontrolu nad NFC démonem. A s trochou práce navíc, tvrdí Miller, je tuto cestu možné použít k spuštění vlastního kódu na cizím telefonu. Nejvíce…

Podle Charlie Millera je možné prostřednictvím NFC ovládnout mobil, který se nachází v dosahu NFC. Android a MeeGo jsou prý tímto způsobem napadnutelné a Miller to předvedl na Galaxy Nexus/Nexus S a Nokia N9 na Black Hat konferenci v Las Vegas. 

V případě Galaxy Nexus/Nexus S využívá Miller problémů s narušením paměti, s pomocí těchto chyb pak získá kontrolu nad NFC démonem. A s trochou práce navíc, tvrdí Miller, je tuto cestu možné použít k spuštění vlastního kódu na cizím telefonu. Nejvíce děravý je Gingerbread, předchozí verze Androidu (Ice Cream Sandwich) má prý některé z chyb již opravené. Hodně zajímavě působí i možnost využít NFC k tomu, aby se na napadeném stroji otevřela jakákoliv webová stránka v prohlížeči. Stejně tak může být problematické to, že dojde k stažení  jakéhokoliv souboru, která je poslán z jednoho mobilu na druhý. 

Podobně problematické je NFC na Nokia N9, které přijme jakýkoliv obsah a požadavky, aniž by uživatel musel cokoliv potvrdit. Miller navíc ukázal, že pomoci NFC je možné N9 přinutit k telefonování, posílání textových zpráv i stahování a nahrávání souborů, včetně kontaktů. V některých případech (podle toho jak má uživatel telefon nastavený) se navíc nahrané soubory automaticky otevřou. Což v praxi znamená, že je možné zneužít bezpečnostních chyb v dalších aplikacích.

EBF17 Casseti

Aby uváděné útoky mohly být využity, musí být na telefonu aktivní obrazovka a telefon musí být odemčený. V praxi je toto omezení ale poměrně nedostačující, útočník může snadno dosáhnout potřebného stavu například posláním SMS nebo zavoláním na cílový telefon. Nebo prostě využít okamžiku, kdy někdo telefon používá.

Zdroj: Android, Nokia smartphone security toppled by Near Field Communication hack

Našli jste v článku chybu?