Статья опубликована в рамках: LXXIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 17 января 2019 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
ОПАСНОСТЬ NFC-ТЕХНОЛОГИЙ ДЛЯ ЛИЧНОЙ ИНФОРМАЦИИ
Аннотация. В данной статье раскрывается проблематика уязвимостей NFC- технологии, а, следовательно, и личных данных человека.
Ключевые слова: NFC; личная информация; уязвимость.
NFC- технологии плотно вошли в нашу жизнь. Весьма удобно использовать одно устройство (например, смартфон) как универсальное средство оплаты или идентификации. Нет надобности набирать пароли, возиться с целой колодой разных карт: достаточно поднести к считывающему устройству свой аппарат и все готово. Но в этом и кроется ее главная опасность.
Для начала давайте рассмотрим, что из себя представляет NFC в целом.
Near field communication («связь ближнего поля»)- технология беспроводной высокочастотной связи малого радиуса действия, дающая возможность совершать обмен между устройствами с аналогичной технологией. Она быстрее, дешевле, и поддерживает пассивные устройства, в отличие, например, от Bluetooth.
Рис. 1. Схема взаимодействия, опрашиваемого и приемного устройств
Основная проблема в том, что, в отличие, например, от того же Bluetooth, сопряжение устройств происходит автоматически, то есть, пользователь может и не знать, что с его устройством взаимодействует нарушитель. Благодаря этому открывается широкий спектр для вредоносного вмешательства в систему, начиная от банального считывания паролей, до занесения деструктивных вирусов на устройство.
Технология работает в трех основных режимах: одноранговом, пассивном и активном. Пассивный режим используется в бесконтактных картах (т.е. они не создают собственного поля). Одноранговый режим- это режим обмена информации между двумя NFC- устройствами. Активный же режим- это режим чтения или записи.
Рисунок 2. Режимы работы NFC
Смартфоны или планшеты, например, могут работать в обоих режимах. В случае, когда производится передача данных с устройства, используется активный режим. Когда этого не требуется, включается пассивный режим. Это логично с точки зрения энергозатратности и быстродействия, но весьма небезопасно. Дело в том, что в большинстве NFC устройств, практически не используется криптографическое шифрование данных, а обычная кодировка. Это и является серьезной уязвимостью данной технологии.
Итальянский эксперт по безопасности Маттео Писани обнаружил уязвимости в мобильном приложении на Android торговых автоматов Argenta. Благодаря взлому, Писани получил доступ к базе данных и создал приложение для ее изменения. Когда он попробовал получить товар у автомата, система не распознала взлома и выдала ему запрошенный товар. Это стало возможно вследствие отсутствия криптографической защиты в NFC- модуле аппарата.
На данный момент, существует несколько распространенных практик злоумышленников, использующих NFC.
Например, MITM (Man in the middle). В этом случае, злоумышленник находится, в цепочке между двумя общающимися людьми. Благодаря NFC он может подключиться к их сети и осуществлять шпионаж и копирование диалога этих людей. Минусом данной практики является невозможность активных действий. Однако, для шпионажа она подходит как нельзя лучше.
Разновидностью подобной атаки является скимминг. Используя скиммер (насадка на картридер банкомата), злоумышленник легко считывает информацию обо всех картах, что прошли через этот банкомат за день.
Еще один вид атаки - использование электронных афиш с NFC. Такие афиши похожи на афиши с QR-кодом: устройство прикладывается к NFC-метке и происходит скачивание или считывание информации. Используя подобную метку, злоумышленник может заразить вирусом устройство ничего не подозревающего человека.
Используя, например, сниффер (компьютерная программа или часть техники, способная перехватывать и анализировать трафик, проходящий через цифровую сеть или ее часть) с NFC- модулем, злоумышленник может совершенно спокойно получить доступ к данным вашего смартфона, планшета. К сожалению, подобные анализаторы сетевых протоколов находятся в общем доступе.
Ученые из Тель-Авивского универститета, создали метод, применяя который можно записать все данные банковского обмена даже если применяются высокотехнологичные алгоритмы шифрования.
Речь идет о Relay-атаке. Ее проводят с помощью считывающего устройства и фальшкарты. При проведении атаки, злоумышленнику достаточно приблизиться к жертве и подключить считыватель,- и вот, данные жертвы уже на фальшкарте. Причем, благодаря усилению сигнала устройства и специального ПО, удалось увеличить расстояние до жертвы с 10 до 50 см (ученым из британского университета Суррей получилось достичь 80 см). Сама фальшкарта может находиться на расстоянии до 50 м. У карты активен NFC чип, вследствие чего и происходит запись данных на нее.
Еще дальше пошли испанские хакеры Рикардо Родригес и Хосе Вилла, нконференции Hack In The Box. В большинстве случаев, Android- смартфон физически находится рядом с банковской картой. Они представили Androin-троян, который превращает смартфон в своего рода NFC-ретранслятор. Оказавшись возле бесконтактной карты, зараженный смартфон отправляет злоумышленникам сигнал о доступной транзакции. Мошенники подносят свой смартфон с NFC к терминалу, между картой жертвы и смартфоном преступников образуется связь и становится возможно проводить транзакции на любом расстоянии.
Уже сейчас специалисты по информационной безопасности видят в подобных атаках большую угрозу. Ведь подобным образом можно сделать слепок не только банковской карты, но и пропуска.
Казалось бы, NFC-технология весьма уязвима и от преступников нет спасения. На самом деле это не совсем так. Дело в том, что внедрение в повседневность этой технологии произошло совсем недавно, в 2014 году. И средства защиты в этой области еще только развиваются.
На данный момент, например, в банковских картах существует ограничение по разовой сумме, которую можно потратить, используя NFC. Так же, невозможная повторная трата максимальной суммы в тот же день, без подтверждения PIN.
Еще один способ защиты – использование мобильного приложения банка. Безопасность здесь обеспечивается технологией HCE. С ее помощью, данные передаются через защищенный шифрованием канал. Данные о карте хранятся на самом устройстве. Пока пользователь не активировал мобильное приложение, relay-атака невозможна. Конечно, наличие root- прав у пользователя, вредоносное ПО и отсутствие пароля на устройстве, не позволяют в полной мере считать такой способ безопасным, но это уже проблематика другого рода и не относится к технологии.
Хорошей защитой от атак является экранирующая вставка из алюминия. Они стоят не очень дорого и не позволяют пройти активному NFC-сигналу. Дешевой заменой может стать листок фольги. Или можно держать несколько NFC-карт вместе. Однако, являясь бюджетными, такие способы не являются надежными.
Сама NFC- технология действительно хороша. Однако, она весьма уязвима для внешних атак. На данный момент, защита устройств, использующих данную технологию несовершенна и далека от идеала. Такая ситуация сложилась из-за молодости как самой технологии, так и ее повсеместного использования, а это значит, что вскоре появятся более совершенные механизмы защиты.
Список литературы:
- А. К. Фетисенко. Криптографическая защита персональных данных при передаче по интерфейсу NFC/Санкт-Петербургский политехнический университет Петра Великого. 2015. URL: http://elib.spbstu.ru/dl/2/6429.pdf/download/6429.pdf (Дата обращения 22.12.2018)
- Near Field Communication [Электронный ресурс]- URL: https://ru.wikipedia.org/wiki/Near_Field_Communication (Дата обращения 22.12.2018)
- Беспроводная связь ближнего радиуса действия [Электронный ресурс]- URL: https://www.securitylab.ru/analytics/438097.php (Дата обращения 23.12.2018)
- How I hacked modern Vending Machines [Электронный ресурс]- URL: https://hackernoon.com/how-i-hacked-modern-vending-machines-43f4ae8decec (Дата обращения 23.12.2018)
- Security Concerns with NFC Technology [Электронный ресурс]- URL: http://nearfieldcommunication.org/nfc-security.html (Дата обращения 23.12.2018)
дипломов
Оставить комментарий