Σημαντικά κενά ασφαλείας στην τεχνολογία NFC των Android και MeeGo smartphones

Μέχρι στιγμής οι επιθέσεις του Charlie Miller έχουν δοκιμαστεί με επιτυχία σε Nokia και Samsung smartphones και ενεργοποιούνται όταν η συσκευή - στόχος πλησιάσει σε ένα NFC chip ή σε μία άλλη συσκευή που υποστηρίζει την ίδια τεχνολογία. Η επίθεση πραγματοποιείται ασύρματα και έχει τη δυνατότητα να ανοίξει μολυσμένα αρχεία ή ιστοσελίδες τα οποία στη συνέχεια εκμεταλλεύονται κενά ασφαλείας σε διάφορα apps όπως εφαρμογές ανάγνωσης εγγράφων ή ο browser.

Ο Miller είναι σύμβουλος σε ερευνητικό επίπεδο στην εταιρεία ασφαλείας Accuvant και έχει αξιοποιήσει τα τελευταία πέντε χρόνια στην ανίχνευση κενών ασφαλείας σε λογισμικό, έχοντας μέχρι τώρα ανακαλύψει ευπάθειες και σε άλλες πλατφόρμες και συσκευές όπως οι Mac υπολογιστές, τα iPhone και Android smartphones. Στο φετινό συνέδριο του Black Hat που πραγματοποιείται στο Λας Βέγκας έχει δώσει ιδιαίτερη βαρύτητα στην τεχνολογία NFC και συγκεκριμένα σε τρεις συσκευές: το Nexus S της Samsung, το Galaxy Nexus και το Nokia N9.

Οι περισσότερες από τις επιθέσεις του Miller που περιγράφτηκαν μπορούν να αξιοποιηθούν τοποθετώντας ένα chip σε κάποιο NFC τερματικό μηχάνημα ή κάποια άλλη συσκευή αυτής της τεχνολογίας. Οι μόνοι περιορισμοί για να καταστεί η επίθεση με επιτυχία είναι ότι η συσκευή πρέπει να είναι ξεκλείδωτη και ενεργή. Ο ερευνητής τονίζει ότι αυτοί οι περιορισμοί δε μπορούν να προσφέρουν οποιαδήποτε ασφάλεια καθώς αποτελούν απαραίτητες προϋποθέσεις για να εκτελεστεί μια συναλλαγή μέσω του προτύπου NFC.

Η επίσημη απάντηση της Nokia είναι ότι η ίδια λαμβάνει σοβαρά υπόψιν την ασφάλεια των προϊόντων της και ότι έχουν κινηθεί οι απαραίτητες διαδικασίες για να ερευνηθεί το κενό στη συσκευή Ν9. Η εταιρεία αναφέρει ότι είναι απίθανο να προκύψουν τέτοιες επιθέσεις σε ευρεία κλίμακα καθώς επίσης ότι δεν έχουν αναφερθεί πραγματικές επιθέσεις που να κάνουν χρήση της παραπάνω επίθεσης. Μέχρι στιγμής η Google δεν έχει τοποθετηθεί επί του ζητήματος.

Site: arstechnica.com