Black Hat -konferenssi pidetään tällä viikolla Las Vegasissa, jossa hakkerit, turvallisuusasiantuntijat ja suurten yritysten edustajat tapaavat keskustelemaan kaikista tietoturvaan liittyvistä asioista. Jos seuraat tämän päivän konferenssin uutisia, olet saattanut löytää raportteja Androidin (ja NFC-yhteensopivien Meego-puhelimien) uudesta tietoturvahaarasta, joka voisi antaa haitallisen NFC-tunnisteen (lähikenttäviestintä) tunnistaa haittaohjelmia suoraan puhelimeesi. Kuulostaa kauhistuttavalta, eikö niin? Nyt hakkerit voivat ottaa älypuhelimesi vastaan ilman, että et edes tee mitään. Mutta kuten aina tällaisten turvallisuuskysymysten kohdalla, se ei ole niin yksinkertaista kuin miltä näyttää. Ja tämä NFC: n "hack", seksikäs ja teknisesti vaikuttava kuin se on, ei oikeastaan ole mitään erityisen pelottavaa älypuhelinten säännöllisille käyttäjille.
Lue edelleen saadaksesi selville miksi.
Ensinnäkin meidän pitäisi nopeasti selittää, mikä NFC oikeastaan on. Se tarkoittaa lähikenttäviestintää, ja se on erittäin lyhyen kantaman langaton viestintätekniikka, joka on suunniteltu lähettämään pieniä tietomääriä heti hyvin lyhyillä etäisyyksillä. Älypuhelimissa tätä voidaan käyttää siirtämään esimerkiksi URL-osoitteita luurista toiseen tai skannaamaan NFC-tunnisteita, jotka voivat itse sisältää pieniä määriä dataa, johon puhelin voi sitten toimia. Sitä voidaan käyttää myös maksujen helpottamiseen, esimerkiksi Google Walletin kautta. (Android AZ: ssa)
Useat lähteet kertovat, että turvallisuustutkija Charlie Miller esitteli tällä viikolla erilaisia tekniikoita hakkerointiin Nexus S: n (piparkakkujen), Galaxy Nexuksen (jäätelövoileipällä) ja Meego-käyttöisen Nokia N9: n kanssa. Monet pelottavimmista hyväksikäytöistä löytyivät N9: stä, mutta keskitymme Androidiin täällä, koska se on mitä me teemme. (Ja siihen myös monet nykypäivän otsikot keskittyvät.)
Ylhäältä lukien, Galaxy Nexus Miller osoitti, että NFC-yhteensopivat Android-puhelimet, joissa on Ice Cream Sandwich tai uudempi, käyttävät Android Beamia, ominaisuutta, jonka jotkut (mutta eivät kaikki) ovat oletusarvoisesti päällä. Beam antaa käyttäjille muun muassa ladata URL-osoitteet toisesta puhelimesta tai NFC-tunnisteesta suoraan laitteen selaimeen. Tämä tarkoittaa, että on mahdollista haitallisella NFC-tunnisteella lähettää vähäinen käyttäjä suoraan vahingolliselle verkkosivulle. Jotta se toimisi, tunnisteen on kuitenkin oltava hyvin lyhyellä alueella, jolla NFC-radiot voivat toimia - käytännössä kaikki paitsi laitteen takaosaa koskematta. Android Beam avaa tunnistetut URL-osoitteet automaattisesti ilman kehotusta suunnittelun perusteella. Se on pätevä tietoturvaongelma, mutta ei hyväksikäyttö perinteisessä merkityksessä, koska jotta voisit tehdä jotain, sinun on löydettävä haavoittuvuus käyttäjän valitsemalle selaimelle.
Jos käytät sisäänrakennettua Android-selainta Android 4.0.1: ssä, sellainen virhe on olemassa, ja se voisi sallia erityisesti suunnitellun verkkosivun suorittamaan koodia laitteessa. Jälleen täysin pätevä tietoturvaongelma, mutta NFC: n käyttäminen toimitusmenetelmänä tällaiselle hyväksikäytölle on kaukana käytännöllisestä. Puhumattakaan Android 4.0.1 julkaistiin vain Galaxy Nexus, puhelin, joka on sittemmin päivitetty Android 4.0.4 tai 4.1.1, riippuen operaattorisi.
Miller osoitti myös, kuinka hän pystyi hyödyntämään virheitä Android 2.3: n muistinhallinnassa aiheuttaakseen NFC-tuella varustetun Gingerbread-laitteen suorittamaan koodin haitallisen tunnisteen avulla. Tämä antaa hyökkääjälle mahdollisuuden hallita laitetta täydellisesti käyttämällä vain NFC-tunnistetta, mutta meidän on korostettava joitain tekijöitä, jotka tekevät tästä vähemmän vakavan aiheen, jonka saatat ajatella. Toki, Android 2.3 Piparkakut on edelleen Androidin eniten käytetty versio, ja monet uudet Android-laitteet toimitetaan NFC-tuella, mutta näiden kahden välillä on vain vähän ristiinvaihtoa. Nexus S oli ensimmäinen Android-matkapuhelin, joka tuki NFC: tä, mutta se on sittemmin päivitetty Jelly Beaniin. Muita NFC: tä tukevia laitteita toimitettiin 2.3: lla, mutta useimmissa NFC: n yleisissä Android-puhelimissa on vähintään versio 4.0.3, joka ei ole herkkä tässä esittelyssä käytetyille hyväksikäytöille. Itse asiassa emme voi ajatella yhtä NFC-Gingerbread-puhelinta, jota on vielä päivitettävä vähintään Android 4.0.3: ksi.
Joten haavoittuvuuksia on varmasti olemassa, mutta tällä hetkellä ainoat vakavat rajoittuvat hyvin pieneen osaan Android-väestöstä, jolla on NFC, ja erittäin erityiseen käyttöjärjestelmän versioon. Lisäksi puhelimeen on kytkettävä virta, NFC-radio on otettava käyttöön ja käyttäjän on oltava riittävän hajamielinen, jotta hän ei huomaa ilmaisimen NFC-ääntä tai tärinää.
Loppujen lopuksi kaikesta hyväksikäyttöön tarkoitetun laitteen fyysiseen pääsyyn liittyvästä hyväksikäytöstä tulee olemaan vain rajoitetun käytön mahdollisia pahoja poikia. Älypuhelimen hallitseminen NFC: n yli todellisessa maailmassa tulee olemaan vaarallista ja epäkäytännöllistä mahdollisille ihmisille, jopa sen jälkeen, kun Black Hat -palvelussa esitetyt menetelmät on julkistettu. Jos minulla on pääsy puhelimeesi, kytkettynä päälle pitkään, haitallisella aikomuksella, NFC ei tule olemaan ensimmäinen käyntisatama. Charlie Millerin tällä viikolla osoittamat hyväksikäytöt ovat nerokas ja kiistattoman viileä lukea. Mutta on helppo liioitella niiden aiheuttamaa todellista vaaraa, varsinkin kun näiden hakkereiden yleinen raportointi on tärkeiden teknisten yksityiskohtien valossa.
Bottom line - jos nautit NFC: n käytöstä Android-puhelimellasi ajoittain, voit jatkaa juuri sen tekemistä.
Lisää: Arc Technica
