La tecnologia NFC recentemente adottata sarà sicura?

2

Ho ricevuto un collegamento oggi parlando di come la società di carte da visita "Moo" sta implementando un chip nelle loro carte che permetterà alle connessioni NFC di fare molte cose come condividere informazioni di contatto, aprire un sito Web, aprire una pagina di social media, ecc.

Quindi personalmente non so un sacco di NFC o della connessione che stabilisce, ma per quanto ne so tutto, è una connessione radio. Quindi, una volta che il chip e il dispositivo si sono resi conto che sono collegati, esegue un comando, probabilmente qualcosa come

if device=connected{
do this
} else {
end / don't run command
};

Mi stavo chiedendo, quanto può essere sicura questa connessione? Appena fuori dalla mia testa, mi sembra che rappresenti un grave rischio per la sicurezza di un paio di minacce, solo una lista di cui ho pensato:

Tocca la carta e:

  • Il software per l'installazione di chip (keylogger)
  • Il chip ruba qualcosa (Apple mantiene i tuoi dati di pagamento nelle impostazioni generali dell'app store)
  • Il segnale radio è intercettato da terzi

Quanto sono possibili questi scenari? Qualcuno dovrebbe preoccuparsi di usare le nuove schede NFC?

(Mi spiace non sono sicuro di cosa taggare questo)

    
posta knocked loose 08.10.2015 - 18:11
fonte

5 risposte

3

NFC è uno standard per una trasmissione di pacchetti.

Il pacchetto può avere un payload.

Il carico utile può essere dannoso, ma richiederebbe un programma in ascolto per quel carico utile da fare.

Quindi no, questo non può accadere a meno che un utente non installi un'applicazione dannosa inviata, visiti una pagina Web pericolosa o un programma che accetti i pacchetti NFC abbia una vulnerabilità.

Perché? Beh, in realtà ciò che si invia su NFC è solo un file. L'utente deve quindi aprire il file. Questo può essere un collegamento Web, un programma di installazione, un file di testo, così avanti e avanti. Tuttavia questi file non possono MAI eseguire automaticamente. Devono essere aperti. Se c'è un programma in attesa di un file, verrà aperto quel file, ma il programma deve essere l'applicazione in primo piano o un gestore di servizio di fronte al comunicatore NFC del sistema operativo.

Che cosa significa questo per sicurezza?

Proprio come molti altri sistemi, questo significa che i cattivi utenti sono il pericolo qui. Se un file viene inviato e causa danni, è perché l'utente ha permesso che fosse inviato e causasse danni utilizzando un programmato progettato per accettare questi pacchetti NFC di doom.

Dovrei essere preoccupato per NFC?

Risposta breve: No.

Risposta lunga: dovresti stare attento. Proprio come l'HTTP, NFC è un protocollo. Devi prendere un programma malevolo per far succedere qualcosa di brutto.

Come evito questo genere di cose che accadono?

Disattiva NFC e, se devi utilizzarlo, utilizza le best practice:

  • Non accettare NFC da fonti o persone di cui non ti fidi, o non sono confermate sicure

  • Non lasciare NFC acceso se non lo stai usando (proprio come BT, wifi, una stufa ...)

  • Non visualizzare, accettare o installare contenuti di cui non ti fidi (come generale, non solo su NFC)

Seguendo questi suggerimenti, ed essendo sicuri, NFC non è più pericoloso del bluetooth.

EDIT: Rivolgendosi a qualcuno che legge la comunicazione via etere: NFC ha una distanza di viaggio estremamente ridotta (a causa della potenza utilizzata). Se qualcosa è vicino a te, al tuo dispositivo e alla cosa con cui stai comunicando, chiedi se è necessario che sia lì. Se la risposta è no, non utilizzare NFC.

    
risposta data 09.10.2015 - 00:05
fonte
5

NFC è solo un altro mezzo come fili, wifi, microonde, comunicazioni luminose, ecc. Spetterà ai professionisti della sicurezza creare e orientare il loro uso sicuro sia che si tratti di pagamenti, condivisione dei dati o qualsiasi altro scopo.

Essere un mezzo invisibile probabilmente comporta i propri rischi in termini di consapevolezza, ma non c'è nulla di intrinseco al di là della sua invisibilità che suggerisce che sarà più o meno sicuro come mezzo.

Per quanto riguarda i tuoi scenari, non penso che il mezzo sia rilevante, solo i sistemi che usano il mezzo e dipenderanno da design, architettura e implementazione sicuri come qualsiasi altro.

Le persone hanno parlato di questo problema da un po 'di tempo in un contesto di sicurezza e la consapevolezza sta sicuramente crescendo.

    
risposta data 08.10.2015 - 18:43
fonte
2

Un paio di punti. NFC non è davvero "nuovo" in senso tecnologico. Diversi anni, ma ha avuto solo un'adozione limitata in aree specifiche. Detto questo, è usato un po 'in aree specifiche.

presentazione di 3 anni del MIT

Come per la tecnologia qualsiasi , ci sono sempre problemi di sicurezza. Lo scenario di exploit a cui alludi potrebbe essere o meno possibile, a seconda delle modalità in questione, delle applicazioni e delle autorizzazioni impostate sui dispositivi. Le tue domande sono piuttosto ampie e non specifiche, e con gli exploit tecnici il diavolo è sempre nei dettagli.

    
risposta data 08.10.2015 - 18:42
fonte
1

Sfortunatamente "NFC" non è un termine ben definito e può significare molte cose diverse in contesti diversi. Principalmente c'è il forum NFC che definisce un paio di quasi-standard del settore:

  • NFCIP-1: l'interfaccia e il protocollo NFC, che in realtà è uno standard "reale" pubblicato congiuntamente come ISO 18092 e ECMA-340, è un protocollo radio half duplex per trasferire dati a bitrate medi (da ~ 100 a 800 kbit / s) su brevi distanze (specificate meno di 10 cm) tra due parti, un iniziatore e un bersaglio. Non a caso questo protocollo è per lo più compatibile con ISO 14443, che è stato usato per scopi simili per un tempo più lungo.
  • NDEF: formato NFC Data Exchange, che è un formato di memorizzazione dei dati binari compatto e un formato di serializzazione dei messaggi.
  • RTD: definizione del tipo di record NFC, un formato di specifica per i messaggi NDEF
  • Tipi di tag NFC da 1 a 4, che definiscono il protocollo radio e le informazioni di memorizzazione dei messaggi logici per diversi tag NFC passivi. Si tratta essenzialmente di unità di archiviazione dati passive con un'interfaccia radio.
  • Diversi formati di messaggi (tramite RTD) e semantica prevista per casi di uso comune come, ed è qui che arrivano i tuoi biglietti da visita, biglietti da visita, poster intelligenti, ecc.

Due aspetti importanti qui: il forum NFC non specifica nulla che possa essere classificato come una "caratteristica di sicurezza", ad eccezione dei bit di blocco. Generalmente, dopo aver scritto un messaggio su un tag, è possibile impostare un bit e quindi il tag sarà di sola lettura e resisterà a ulteriori tentativi di scrittura su di esso. E i messaggi NDEF sono proprio questo: messaggi. Qui non sono coinvolti codice eseguibile o altra magia attiva.

Nel caso d'uso del biglietto da visita (che, come vedi, non è stato inventato da Moo), scrivi un messaggio NDEF sulla carta, che in sostanza dice: »Sono un biglietto da visita, questo è il mio nome:. .., questo è il mio numero di telefono: ... «, ecc. Un altro dispositivo può quindi (utilizzando NFCIP) contattare il tag, leggere il messaggio e richiedere all'utente ulteriori azioni (come ad esempio: aggiungere il contenuto di questa attività scheda come nuovo contatto nella rubrica).

Ci sono altri tipi di messaggi NDEF che sono un po 'più pelosi: una richiesta di chiamata contiene un numero di telefono e la semantica atteso quando si legge il messaggio con un telefono è che all'utente viene immediatamente chiesto se vogliono chiamare quel numero.

Ancora: nessuna proprietà di sicurezza è implementata o rivendicata. Nessuno sa da dove provengano i dati letti dal tag. Ma dal momento che non è in realtà un programma o un codice di computer, si ottengono solo problemi di sicurezza se il parser nel dispositivo di lettura è rotto o se il dispositivo non funziona senza il consenso dell'utente. Di cui c'erano alcuni esempi in passato.

    
risposta data 08.10.2015 - 22:19
fonte
-1

Questo link di base NFC dovrebbe risolverne alcuni. Puoi anche provare a farlo Qui .

Oggi viene usato molto, principalmente tag passivi come nei biglietti da visita e questo adesivo che è apparso in Australia circa 2 anni fa (credo): [foto grande rimossa. Ed.]

Modifica: ho dimenticato di dire che i "tag" stanno rapidamente sostituendo i codici QR per la loro facilità d'uso e semplicità, e memorizzano solo una piccola quantità di dati come un url, un link app (per un app store) o una "scheda di contatto" per il tuo telefono. Non ne conosco i limiti, non mi diletto.

Se leggi il primo link, vedrai tag "passivi" come quelli che ho menzionato. Questi non eseguono nulla, semplicemente memorizzano una riga di testo, come un lettore di codici a barre invisibile. L'altra opzione è dispositivi "attivi", che è probabilmente il tuo smartphone o qualcosa di simile, sono più potenti. Ma i dispositivi attivi non prenderanno provvedimenti che non sono stati progettati per fare e normalmente chiederanno "cosa vuoi fare con questo URL?". A meno che non venga scoperta una questione di sicurezza, e sono sicuro che verrà tempestivamente aggiornata, non c'è molto di cui preoccuparsi. NFC è persino crittografato in modo che gli estranei non possano ascoltare.

    
risposta data 08.10.2015 - 19:11
fonte

Leggi altre domande sui tag