Android hacknutý přes NFC

Karel Michal , 27. červenec 2012 10:41 0 komentářů

Charlie Miller, bezpečnostní expert, který opakovaně vyhrál hackerskou soutěž Pwn2Own a jenž je noční můrou softwarových vývojářů Apple, na středeční konferenci Black Hat předvedl hacknutí Android telefonů přes NFC. Zároveň upozornil na méně závažné, ale podobné bezpečnostní chyby u MeeGo.

Architektura NFC v mobilním telefonu (zdroj: GSMA)
Architektura NFC v mobilním telefonu (zdroj: GSMA)
Miller odhalil celou škálu zranitelností NFC implementovaného na linuxové platformě, nejhůře v jeho výčtu dopadl Android 2.3.3 a Android 4, bez ztráty cti ale nezůstalo ani MeeGo na Nokii N9.

U platformy Android 2.3.3 bylo objeveno několik zranitelností při zpracovávání dat automaticky přijatých přes NFC, chyby je možné využít ke získání kontroly nad přístrojem. Prezentováno bylo také hacknutí Nexusu s Androidem 4. Ačkoli tento systém řeší všechny chyby v implementaci NFC z předchozí verze, dá se poměrně snadno hacknout přes špatně zabezpečený Android Beam pro snadné sdílení NFC dat.

Hlavní výhodou je zde fakt, že Android Beam umožňuje otevřít libovolný web bez souhlasu a spolupráce uživatele. Další způsob napadení Androidu 4 je podstrčení URL prostřednictvím NFC tagu, na připravené stránce se pak musí nalézat kód zneužívající c chybu v jádru WebKit.

V případě Nokie N9 s MeeGo našel hacker zranitelnost při NFC spárování s Bluetooth zařízením (určeno pro automatické spojení se sluchátky, nebo reprosoustavou). Chyba umožňuje z telefonu uskutečňovat hovory a posílat SMS. Druhou slabinou je pak možnost poslat přes NFC falešný Word dokument, který pak zneužije chybu v prohlížeči dokumentů. Tento typ útoku ovšem vůbec není triviální a vyžaduje poměrně pokročilé znalosti na straně útočníka.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 0 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů