NFC Forum прокомментировал демонстрацию уязвимостей технологии NFC

Организация NFC Forum, созданная с целью поддержки, развития и популяризации технологии беспроводной связи малого радиуса действия (NFC), отреагировала на показательный взлом смартфонов Чарли Миллером, продемонстрированный на конференции по безопасности Black Hat в Лас-Вегасе.

«NFC Forum работает над тем, чтобы доступные инструменты, при помощи которых выполняется работа приложений, могли функционировать с соответствующим уровнем безопасности", - говорит, представитель департамента отраслевых стандартов. «Демонстрация мистера Миллера подчеркивает важность обеспечения соответствующих мер безопасности на уровне приложений и позволяет пользователям настраивать параметры безопасности в соответствии со своими потребностями и предпочтениями».

Презентация на Black Hat в Лас-Вегасе вызвала настоящий переполох в IT-изданиях, даже BBC подготовила специальный репортаж о том, что NFC может быть использована для хакерских атак на мобильные телефоны потребителей.

Как это часто бывает с NFC, проблемы, вероятно, носят более комплексный характер, чем может показаться на первый взгляд. Поэтому NFC Forum дает ответ на выводы, изложенные уважаемым исследователем безопасности Чарли Миллером в своем выступлении: «Не стой так близко ко мне: анализ NFC атак".

В своей презентации, Миллер показал, что код может быть запущен со стороны неавторизованных пользователей. Он обнаружил ошибки, в частности, реализации NFC на уровне ОС Android, а также уязвимости безопасности в некоторых реализациях NFC, таких как Android Beam и обмене контентом между Nokia и Bluetooth соединением.

Это, в сочетании с тем, что данные, полученные с помощью NFC могут при определенных обстоятельствах автоматически и незаметно передаваться в приложения или системы библиотек, содержащих известные эксплойты, означает, что, пока недостатки NFC не устранены, определенные хакеры могут находить новые пути к устройствам, пока проблемы не будут решены. Миллер отмечает, что, например, обработчик графических файлов .PNG на Nokia N9 содержит известные уязвимости.

Миллер делает вывод, что NFC-стек очень трудно проверить и рекомендует, чтобы все устройства предоставляли пользователям возможность вручную подтверждать передачу приложениям данных, полученных извне с помощью NFC, и что это должно быть включено по умолчанию.

Дебби Арнольд, директор NFC Forum, сообщает NFC World:

NFC Forum признает, что безопасность технологии NFC имеет первостепенное значение и поддерживает активную рабочую группу, посвященную безопасности.

Наша роль заключается в разработке спецификации интерфейса для того, чтобы использовать NFC в широком спектре приложений, вместо того, чтобы определять требования (в том числе безопасности) для приложений, использующих NFC-интерфейс.

Тем не менее, NFC Forum работает над инструментами, которые позволят приложениям работать с необходимым уровнем безопасности. Эти инструменты включают в себя:
(а) Подпись RTD (NDEF подпись) , NFC Forum выпустил спецификацию цифровой подписи для сообщений, передаваемых между устройствами,
(б) ISO/IEC 13157 - стандарт безопасной передачи данных, дополненный более высоким уровнем безопасности, первоначально разработанным органом по стандартизации Ecma International,
(в) безопасность приложений (end-to-end шифрование) определяемая провайдером, и
(г) дополнительные уровни безопасности в сервис-провайдеров соответствующих серверных систем.

Все эти мероприятия и механизмы работают рука об руку. Поставщики NFC-сервисов могут добавлять меры безопасности по своему усмотрению, включая обязательные и необязательные действия пользователей для включения или отключения этих функций.

Демонстрация г-на Миллера подчеркивает важность обеспечения соответствующих мер безопасности на уровне приложений и позволяет пользователям настраивать параметры безопасности в соответствии со своими потребностями и предпочтениями.

Мы в NFC Forum продолжаем настаивать на мерах безопасности, которые эффективно защищать конфиденциальные данные пользователя и приглашаем все заинтересованные стороны, которые желают запросить дополнительную информацию или хотят внести свой вклад в наши разработки, посетить нас на www.nfc-forum.org.

Издание nfcworld.com также побеседовало с Миллером о результатах его презентации. Ключевой вопрос, пояснил он, заключается в том, что пользователь может и не знать, когда кто-то взаимодействует с его устройством по NFC, в отличие от, того, когда кто-то сознательно нажимает на URL - такие как сокращенные ссылки в сообщение Twitter,ко торые могут вести на вредоносный веб-сайт. Если NFC не настроен, чтобы информировать пользователя каждый раз, когда взаимодействие осуществляется через чтение тегов или P2P, то телефон пользователя можно загрузить и выполнить деструктивные действия на компьютере без ведома пользователя. P2P Функциональность Android Beam становится таким образом уязвимой, указывает Миллер, потому что она не требует подтверждения от принимающего устройства, когда информация передается.

"Каждый раз, когда вы делаете вещи очень и очень простыми в использовании, это дает отличную возможность для хакеров", предупреждает он. "Я надеюсь, в будущем они внесут некоторые изменения, так что у пользователей будет несколько вариантов." Совет Миллера компаниям, разрабатывающим NFC-приложения: "Учитывайте, что это новый способ, который потенциально может быть проблематичным ... всегда помните о безопасности".