Ученые взломали android-смартфоны через модуль NFC
Японские исследователи из токийского Университета Васэда обнаружили способ скрытно подключаться к Android-смартфонам и манипулировать ими. Технология построена на уязвимостях NFC-соединения и особенностях работы емкостных экранов.
Для PoC-атаки, получившей название Tap’n Ghost («тапающий призрак»), используется целый комплект оборудования, включая небольшой компьютер, высоковольтный трансформатор и медный коврик, через который взломщик отправляет запросы об NFC-подключении. Эксперты указывают, что несмотря на количество приборов, их все же можно вмонтировать в стол или другую поверхность.
Особенность Android-устройств в том, что они постоянно сканируют эфир в поисках доступных соединений. Если жертва разместит свой смартфон в непосредственной близости от вредоносного объекта, подключение произойдет автоматически.
После этого зловредное устройство может заставить смартфон перейти по ссылке, принять сопряжение от стороннего Bluetooth-агента или подключиться к небезопасной WiFi-сети. Две последние операции требуют подтверждения со стороны пользователя, для чего исследователи научились эмулировать прикосновения к экрану. Это становится возможным благодаря отправке электрических импульсов через медный передатчик — емкостный экран воспринимает их как контакт с пальцем.
Эксперты протестировали прием на семи смартфонах и добились успеха в пяти случаях. Эту же технологию можно использовать для атак на любые NFC-устройства с емкостным экраном, вплоть до банкоматов и машин для голосования. Правда, в каждом случае злоумышленнику потребуется подобрать нужные параметры, поскольку техника разных производителей может работать по-разному.
В настоящий момент исследователи призывают разработчиков Android повысить безопасность NFC-подключений на своих аппаратах. Для этого можно, например, добавить дополнительное подтверждение перед установлением соединения. От нежелательных манипуляций с емкостными экранами также можно защититься внедрением дополнительной защиты.
В 2018 году уязвимость NFC-технологии помогла взломать смартфон Xiaomi в рамках турнира Pwn2Own — авторы эксплойта заставили устройство пройти по сторонней интернет-ссылке.
Источник: Threatpost
Читайте также:
Как работать с безграмотными в вопросах ИБ пользователями. Делимся лайфхаками на Коде ИБ в Алматы
Ключевой темой, прошедшей 4 июня конференции Код ИБ в Алматы, стало повышение культуры кибербезопасности. Чей уровень культуры нуждается в повышении и какими методами обсудили эксперты во время пленарной дискуссии.
Киберпреступники собрали операцию Frankenstein из компонентов с открытым исходным кодом
Киберпреступная группировка, стоящая за серией таргетированных атак в январе-апреле 2019 года, использует для похищения учетных данных вредоносные инструменты, собранные из доступных, бесплатных компонентов.