-
-
新型Android NFC攻击可以在任何时候近距离偷取你手机信用卡里的钱
-
发表于: 2015-6-4 16:13
-
http://bobao.360.cn/news/detail/1617.html 新闻链接:http://bobao.360.cn/news/detail/1617.html
新闻时间:2015-06-01 15:54:07
新闻正文:
研究人员发现,你的支持NFC功能的Android智能手机可能是黑客使用的最新武器,可以被用于从你口袋里的信用卡中窃取金钱。在阿姆斯特丹的Hat In The Box Security Conference上,安全研究人员Ricardo J. Rodriguez和Jose Vila做了一个真实世界中的演示,证明了所有支持NFC功能的Android手机都是脆弱的。这种攻击方式通过恶意应用软件,允许黑客利用NFC功能在受害者的信用卡接近受害者的手机时从中窃取金钱。
什么是NFC?
Near Field Communication或者NFC是一种近距离非接触式通信系统,采用无线数据,允许多方面的技术,在接近对方的时候进行通信而无需互联网连接。NFC主要的技术特点类似于Android Beam。Android Beam允许Android用户在两台设备接触时交换图片或联系人信息。NFC技术已经越来越多的用于无现金支付系统,例如谷歌钱包和安卓支付。
NFC由无线射频识别(RFID)技术发展而来。NFC芯片作为无线链路的一部分,在过去的两三年被发布,可以被大多数Android智能手机识别。一旦它被另一个NFC芯片激活,将支持在两个设备之间几厘米的近距离内传送少量的数据。
黑客如何通过NFC攻击你的信用卡?
在过去关于NFC中继攻击的研究已经有很多了,但这些类型的攻击通常被认为是难以实现的,因为它需要两个设备之间非常近的距离。然而在2013年,研究人员Michael Roland发现,通过在受害者的手机中安装木马软件,攻击者可以在受害者的手机上启动谷歌支付来使用NFC功能。当谷歌意识到这个问题后,他们迅速做了修复。然而在这个最新的研究中, Rodriguez和Vila发现黑客可以利用受害者手机中的NFC功能从他或她口袋里的信用卡窃取钱财,而不是通过之前那种利用谷歌支付在信用卡接触受害者的手机时利用的方式。如果你的手机经常和你的钱包在一起,攻击实例将更可能实现。
执行这种攻击,黑客所需要的所有设备只是一种接受NFC支付的POS机和一部Android 4.4 以上并且支持NFC功能的手机。
那么如何攻击呢?该方法被称为中继攻击,中继攻击基本上可以将整个无线通信转发到较远的距离,取代NFC所允许的短距离。这是由四个角色实现,众所周知:可信的验证者,证明者和不可信的验证者,证明者,在攻击中,不可信的验证者和证明者共同欺骗可信的验证者和证明者,我们的验证和证明如下:
可信的证明者和验证者:你的信用卡和攻击者的POS终端
不可信的证明者和验证者:攻击者的NFC手机和你
要发动攻击,黑客需要一个足够吸引人的应用程序,使它在网络和应用市场上可信——很多时候,这可能是一个破解程序,你可以免费下载而不是付费(例如:SC Secret Recorder,在谷歌应用商店3.5美元,破解版应用免费)。受害者下载了应用,并不知道它嵌入了恶意软件。该恶意软件不断监测它所安装的手机的周围环境。每当一个NFC信用卡(又名contactless card)接近到被感染的手机足够近的距离(例如你把它放到口袋或者钱包里),恶意软件就会通过网络发送消息给攻击者的手机(不可信的证明者)。攻击者只需要将他的手机靠近已经就绪NFC的POS机,一起非法货币交易就会执行,就像你站在那里,用你自己的支付设备靠近POS机。
安全研究人员在HITB上成功地做出了一个证明演示,使用Nexus 5 作为不可信的证明者,Sony Xperia S作为不可信的验证者。研究人员也成功地进行了测试攻击,使用Nexus 4和Samsung Galaxy Nexus。
尽管被盗取的钱仅限于少量(50美元或者更少)并且只有很少的交易可以不需要pin码实现。目前在市场上大约有300的移动设备支持NFC。根据市场研究公司Juniper Research最近的一份报告,2019年预计将有5亿的NFC支付用户。尽管现在还没有已知的NFC中继攻击犯罪情况,但潜在的可利用的设备数量大,恶意软件的开发简单,快速,并且可以获得收入,Vila和Rodriguez相信这只是时间问题,“数字扒窃”将随着NFC中继攻击进入聚光灯。
那么用户如何保护自己免受NFC攻击?Rodriguez跟idigitaltimes共享了这个建议:“验证你安装在设备上的应用——不要使用未经谷歌应用商店认可的应用或者在其他应用市场获得的应用。如果你没有使用NFC的其他东西,那么只需要关闭默认。这样,应用程序在需要使用NFC时将必须要求你启动NFC,如果未是经授权的使用,你会知道的。”
要了解更多关于Rodriguez和Vila的研究,在这里看到他们演示完整的幻灯片。或阅读技术白皮书,这里。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.idigitaltimes.com/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497
新闻时间:2015-06-01 15:54:07
新闻正文:
研究人员发现,你的支持NFC功能的Android智能手机可能是黑客使用的最新武器,可以被用于从你口袋里的信用卡中窃取金钱。在阿姆斯特丹的Hat In The Box Security Conference上,安全研究人员Ricardo J. Rodriguez和Jose Vila做了一个真实世界中的演示,证明了所有支持NFC功能的Android手机都是脆弱的。这种攻击方式通过恶意应用软件,允许黑客利用NFC功能在受害者的信用卡接近受害者的手机时从中窃取金钱。
什么是NFC?
Near Field Communication或者NFC是一种近距离非接触式通信系统,采用无线数据,允许多方面的技术,在接近对方的时候进行通信而无需互联网连接。NFC主要的技术特点类似于Android Beam。Android Beam允许Android用户在两台设备接触时交换图片或联系人信息。NFC技术已经越来越多的用于无现金支付系统,例如谷歌钱包和安卓支付。
NFC由无线射频识别(RFID)技术发展而来。NFC芯片作为无线链路的一部分,在过去的两三年被发布,可以被大多数Android智能手机识别。一旦它被另一个NFC芯片激活,将支持在两个设备之间几厘米的近距离内传送少量的数据。
黑客如何通过NFC攻击你的信用卡?
在过去关于NFC中继攻击的研究已经有很多了,但这些类型的攻击通常被认为是难以实现的,因为它需要两个设备之间非常近的距离。然而在2013年,研究人员Michael Roland发现,通过在受害者的手机中安装木马软件,攻击者可以在受害者的手机上启动谷歌支付来使用NFC功能。当谷歌意识到这个问题后,他们迅速做了修复。然而在这个最新的研究中, Rodriguez和Vila发现黑客可以利用受害者手机中的NFC功能从他或她口袋里的信用卡窃取钱财,而不是通过之前那种利用谷歌支付在信用卡接触受害者的手机时利用的方式。如果你的手机经常和你的钱包在一起,攻击实例将更可能实现。
执行这种攻击,黑客所需要的所有设备只是一种接受NFC支付的POS机和一部Android 4.4 以上并且支持NFC功能的手机。
那么如何攻击呢?该方法被称为中继攻击,中继攻击基本上可以将整个无线通信转发到较远的距离,取代NFC所允许的短距离。这是由四个角色实现,众所周知:可信的验证者,证明者和不可信的验证者,证明者,在攻击中,不可信的验证者和证明者共同欺骗可信的验证者和证明者,我们的验证和证明如下:
可信的证明者和验证者:你的信用卡和攻击者的POS终端
不可信的证明者和验证者:攻击者的NFC手机和你
要发动攻击,黑客需要一个足够吸引人的应用程序,使它在网络和应用市场上可信——很多时候,这可能是一个破解程序,你可以免费下载而不是付费(例如:SC Secret Recorder,在谷歌应用商店3.5美元,破解版应用免费)。受害者下载了应用,并不知道它嵌入了恶意软件。该恶意软件不断监测它所安装的手机的周围环境。每当一个NFC信用卡(又名contactless card)接近到被感染的手机足够近的距离(例如你把它放到口袋或者钱包里),恶意软件就会通过网络发送消息给攻击者的手机(不可信的证明者)。攻击者只需要将他的手机靠近已经就绪NFC的POS机,一起非法货币交易就会执行,就像你站在那里,用你自己的支付设备靠近POS机。
安全研究人员在HITB上成功地做出了一个证明演示,使用Nexus 5 作为不可信的证明者,Sony Xperia S作为不可信的验证者。研究人员也成功地进行了测试攻击,使用Nexus 4和Samsung Galaxy Nexus。
尽管被盗取的钱仅限于少量(50美元或者更少)并且只有很少的交易可以不需要pin码实现。目前在市场上大约有300的移动设备支持NFC。根据市场研究公司Juniper Research最近的一份报告,2019年预计将有5亿的NFC支付用户。尽管现在还没有已知的NFC中继攻击犯罪情况,但潜在的可利用的设备数量大,恶意软件的开发简单,快速,并且可以获得收入,Vila和Rodriguez相信这只是时间问题,“数字扒窃”将随着NFC中继攻击进入聚光灯。
那么用户如何保护自己免受NFC攻击?Rodriguez跟idigitaltimes共享了这个建议:“验证你安装在设备上的应用——不要使用未经谷歌应用商店认可的应用或者在其他应用市场获得的应用。如果你没有使用NFC的其他东西,那么只需要关闭默认。这样,应用程序在需要使用NFC时将必须要求你启动NFC,如果未是经授权的使用,你会知道的。”
要了解更多关于Rodriguez和Vila的研究,在这里看到他们演示完整的幻灯片。或阅读技术白皮书,这里。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.idigitaltimes.com/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
