«Шапочки из фольги уже недостаточно, пора заворачивать в нее бумажник»

в 10:16, , рубрики: NFC, Блог компании Symantec, информационная безопасность, Мобильный веб, метки:

Недавно мы уже писали про опасности, связанные с использованием беспроводных протоколов и мобильных устройств. Продолжаем тему разговором об NFC. Не будем в этом посте углубляться в теоретические изыскания, а перейдем к конкретной практической реализации. Речь пойдет о приложении Android.Ecardgrabber, которое способно бесконтактно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя. image

Стандарт ближней связи NFC обеспечивает беспроводный обмен данными на коротком расстоянии (до 4 см). Подобные виды связи сегодня уже используются и в России. В частности, некоторые банки выпустили бесконтактные карты для проезда в метрополитене. Существуют и другие подобные проекты.

Я уже представляю себе картину: 2050 год, карманный воришка будущего осуществляет мелкую кражу, прикладывая к сумке прохожего мобильный телефон, извлекающий данные кредитки по NFC. Так что, как написал один твитерянин, «шапочки из фольги уже недостаточно, пора заворачивать в нее бумажник».

Один немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android, способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж.
Приложение Android, зарегистрированное Symantec под именем Android.Ecardgrabber, производит попытку считывания данных с помощью протокола связи NFC. Приложение было размещено на сервисе Google Play 13 июня; до удаления его успело скачать от 100 до 500 пользователей.

image

image

Извлечение информации

Анализ кода Android.Ecardgrabber показал, что автор совершил попытку извлечения информации из восьми различных систем пластиковых карт.
По признанию самого автора, приложение было успешно протестировано только с двумя системами пластиковых карт, а разработка кода не доведена до конца.
Проведено тестирование следующих систем:
• MasterCard*
• A European credit card*
• Visa V Pay**
• Cirrus**
• Maestro**
• Visa Electron**
• Visa**
* Автором подтверждён успешный результат;
** Не подтверждено, но имеется в коде.

Приложение может получать следующую информацию:
• Номер пластиковой карты;
• Дата начала срока действия карты;
• Дата окончания срока действия карты;
• Номер банковского счета.

Примечание: в коде не обнаружено средств извлечения кода безопасности карты.

Несмотря на то, что для извлечения данных приложение требует от пользователя установки и поднесения бесконтактной пластиковой карты к телефону на расстояние не более 4 сантиметров, оно ярко иллюстрирует уязвимость этой развивающейся технологии. Несложно представить вирусное приложение, тихо существующее в виде фонового процесса на мобильном устройстве и потихоньку общающееся с вашей бесконтактной пластиковой карточкой в кошельке.
Стандарт ближней связи NFC – это новая технология, обещающая сделать жизнь проще и интерактивней, однако уже сейчас пользователям стоит задуматься о проблемах безопасности, о которых никогда не нужно забывать.

Автор: symadmin


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js