Ученые взломали android-смартфоны через модуль NFC

06 июня 2019
Ученые взломали android-смартфоны через модуль NFC

Японские исследователи из токийского Университета Васэда обнаружили способ скрытно подключаться к Android-смартфонам и манипулировать ими. Технология построена на уязвимостях NFC-соединения и особенностях работы емкостных экранов.

Для PoC-атаки, получившей название Tap’n Ghost («тапающий призрак»), используется целый комплект оборудования, включая небольшой компьютер, высоковольтный трансформатор и медный коврик, через который взломщик отправляет запросы об NFC-подключении. Эксперты указывают, что несмотря на количество приборов, их все же можно вмонтировать в стол или другую поверхность.

Особенность Android-устройств в том, что они постоянно сканируют эфир в поисках доступных соединений. Если жертва разместит свой смартфон в непосредственной близости от вредоносного объекта, подключение произойдет автоматически.

После этого зловредное устройство может заставить смартфон перейти по ссылке, принять сопряжение от стороннего Bluetooth-агента или подключиться к небезопасной WiFi-сети. Две последние операции требуют подтверждения со стороны пользователя, для чего исследователи научились эмулировать прикосновения к экрану. Это становится возможным благодаря отправке электрических импульсов через медный передатчик — емкостный экран воспринимает их как контакт с пальцем.

Эксперты протестировали прием на семи смартфонах и добились успеха в пяти случаях. Эту же технологию можно использовать для атак на любые NFC-устройства с емкостным экраном, вплоть до банкоматов и машин для голосования. Правда, в каждом случае злоумышленнику потребуется подобрать нужные параметры, поскольку техника разных производителей может работать по-разному.

В настоящий момент исследователи призывают разработчиков Android повысить безопасность NFC-подключений на своих аппаратах. Для этого можно, например, добавить дополнительное подтверждение перед установлением соединения. От нежелательных манипуляций с емкостными экранами также можно защититься внедрением дополнительной защиты.

В 2018 году уязвимость NFC-технологии помогла взломать смартфон Xiaomi в рамках турнира Pwn2Own — авторы эксплойта заставили устройство пройти по сторонней интернет-ссылке.

Источник: Threatpost

Читайте также:

11 июня 2019

Как работать с безграмотными в вопросах ИБ пользователями. Делимся лайфхаками на Коде ИБ в Алматы.

Ключевой темой, прошедшей 4 июня конференции Код ИБ в Алматы, стало повышение культуры кибербезопасности. Чей уровень культуры нуждается в повышении и какими методами обсудили эксперты во время пленарной дискуссии. 

05 июня 2019

Киберпреступники собрали операцию Frankenstein из компонентов с открытым исходным кодом

Киберпреступная группировка, стоящая за серией таргетированных атак в январе-апреле 2019 года, использует для похищения учетных данных вредоносные инструменты, собранные из доступных, бесплатных компонентов.