Расположенная в Денвере компания
Accuvant, проводящая исследования в сфере компьютерной безопасности, в
лице её представителя Чарли Миллера, объявила на конференции Black Hat о
новой уязвимости, найденной в современных смартфонах с поддержкой
технологии NFC. Злоумышленники могут свободно получить доступ к
аппарату, используя его собственный веб-браузер.
Сам
протокол NFC по-прежнему считается надёжным; однако то, как использует
его возможности программное обеспечение Android Beam, позволяя чипу NFC
получать автоматический доступ к браузеру, вызывает тревогу экспертов по
безопасности компании Accuvant. Это открывает аппарат пользователя для
всех видов вредоносных атак. Например, злоумышленники могут создать
поддельный стикер NFC и наклеить его поверх настоящего; в результате
через него на смартфон может быть отправлен любой исполняемый код. То же
самое может быть проделано и без помощи стикера, поскольку
злоумышленнику, для отправки вредоносного кода, достаточно оказаться в
зоне приёма NFC-чипа пользователя. Отправленный код затем может
применяться для использования известных уязвимостей браузера, или же
самой операционной системы.
Проблема
может оказаться особенно серьезной с учётом того, что на смартфонах с
операционной системой Android Ice Cream Sandwich NFC и Android Beam
включены по умолчанию. Android Beam автоматически скачивает посредством
NFC любой файл или ссылку, даже не уведомляя пользователя об этом. В
конечном итоге злоумышленники могут получить доступ к хранящимся в
аппарате файлам пользователя и его контакт-листу.
Данная
проблема не является эксклюзивной для ОС Android. Та же уязвимость
имеется и на MeeGo, например в смартфоне Nokia N9, а в ближайшем будущем
ожидается появление NFC в смартфонах на Windows Phone
и iOS. Тем не менее, с учётом количества смартфонов на Android, именно
для них проблема стоит особенно остро; ей могут быть подвержены такие
популярные аппараты, как Samsung Galaxy S III, Galaxy Nexus, Sony Xperia
S, HTC One X.