Läs testet

Smarta hemmet

Säkerhetsexpert:

"Brister i NFC kan användas för attacker"

En säkerhetsexpert har hittat brister i NFC-implementeringar hos Android och Nokia som gör dem sårbara för attacker.

Publicerad:

27 jul 2012 - 13:21

Uppdaterad:

27 nov 2013 - 11:04

Det var under en Black Hat-konferens tidigare i veckan som säkerhetsspecialisten Charlie Miller demonstrerade hur man kan utnyttja svagheter i NFC-tekniken hos Android- och Nokia-telefoner för att kapa mobila enheter.

Problemet hos Android, enligt Miller, är att NFC-funktionen är aktiverad som standard på enheter utrustad med tekniken, skriver Cnet.

NFC-taggar kan utgöras av klistermärken och andra smarta kort som är utformade för att skicka data till NFC-läsare. Tanken är man på ett enkelt sätt ska kunna överföra telefonnummer och url-adresser till smarta mobiler. Taggarna fungerar dock att NFC-enheten finnas på relativt nära avstånd, några centimeter eller så, för att data som ska kunna överföras.

Foto: NFC Rumors

Attacker med NFC mot mobiler skulle kunna innebära att någon använder en dold NFC-tagg för öppna en skadlig webbplats via Android Beam-funktionen - utan användarens medgivande.

Under sitt demonstration visade Charlie Miller hur han kunde styra en telefon att automatiskt besöka en skadlig webbplats. Han kunde även ladda ner skadlig programkod som utnyttjade en webbläsarbugg, vilket skulle ge en angripare möjlighet att läsa cookies, ta del av webbsurfningen på enheten och så småningom ta kontroll över telefonen. 

 Miller, som är konsult hos säkerhetsföretaget Accuvant, spekulerade även kring tänkbara scenarier där NFC-taggar kan användas för att ta över mobiltelefoner. Ett sådant scenario skulle kunna vara att en angripare placerar en falsk tagg på en filmaffisch. När förbipasserande med NFC-mobiler läser in taggen för att se en filmtrailer, skickas de istället till en sida där skadlig programvara laddas ner till mobilen. Ett annat möjligt scenario skulle kunna vara att man byter ut tagg som används vid point-of-sale-betalningsterminaler.

I sitt tal menade Miller att smarta mobiler inte bör tillåtas att läsa in webbsidor utifrån direktiv som skickats via NFC. Istället borde telefonen varna användaren och att enheten har riktats till en viss webbplats och sedan be om tillåtelse att läsa in den. 

Miller berättade även att han har hittat buggar NFC-paserkoden till Android Nexus S och Samsung Galaxy Nexus. Åtminstone ett av dessa problem ska ha åtgärdats i och med Ice Cream Sandwich, men Gingerbread är fortfarande sårbart, uppger Miller.

Även Nokia och deras N9 har problem med sin NFC-implementering, menar Miller. Enligt honom kommer N9:an - som använder Linuxbaserade operativsystemet MeeGo -  acceptera alla anslutningsförfrågningar utan att be om användarens tillåtelse när NCF är aktiverat på enheten. Miller menar att detta gör Nokia N9 sårbar för attacker där angripare kan ta över kontrollen för att ringa samtal, skicka sms och ladda ned data, skriver The Nokia Blog.

Nokia har kommenterar Millers efterforskningar i ett uttalande till Ars Technica. Enligt företaget ska man nu titta närmare på dessa påståenden om Nokia N9:

"Nokia takes product security issues seriously. Nokia is aware of the NFC-research done by Charlie Miller and are actively investigating the claims concerning Nokia N9. Although it is unlikely that such attacks would occur on a broad scale given the unique circumstances, Nokia is currently investigating the claims using our normal processes and comprehensive testing. Nokia is not aware of any malicious incidents on the Nokia N9 due to the alleged vulnerabilities."

Senaste Apple-testet

Färskaste Android-testet

Senaste Windows-testet

Spännande tillbehör

Senaste Samsung-testet

Senaste Sony-testet

Ios - senaste testet

Nya surfplattor

Heta armband och klockor

Senaste telefon-testet

 
  • Smartare än den ser ut

    Relativt liten, smidig och snabb. Det är den första känslan man har efter att ha använt Honor 8 ett tag. Men efter ytterligare ett tag upptäcker man att det finns mer som döljer sig under ytan.

    31 aug 2016 - 07:31
  • 13 miljarder euro

    Irland och Apple kommer att överklaga Europakommissionens beslut om att mobiltillverkaren måste återbetala, vad som av kommissionen anses vara, uteblivna skattepengar.

    30 aug 2016 - 18:48
  • Hustomtens äventyr

    Midvinter är ett rätt kort och enkelt peka och klicka-spel, men fokus på svensk folktro ger det charm.

    30 aug 2016 - 11:19
  • Google Svarsbonus

    Den har funnits tillgänglig i andra länder tidigare, men nu kan även vi i Sverige få gratisappar som tack för att svara på undersökningar.

    29 aug 2016 - 14:32
  • Sök

    Google har lanserat luffarschack och patiens i företagets sökmotor.

    29 aug 2016 - 14:13
  • Inget exakt datum

    Den taiwanesiska mobiltillverkaren meddelar via Twitter att HTC 10 uppdateras till senaste Android under hösten.

    29 aug 2016 - 08:00

Mest kommenterat

Senaste testet

Hetaste apparna

Sidor

Tipsa Mobil

Vi vill ha en kontinuerlig dialog med dig som besöker mobil.se.

Skicka gärna ett mail om du har ett hett tips eller nåt spännande att berätta.

Om Mobil

Mobil är Sveriges ledande tidning och sajt inom området mobil kommunikation. 

Tidningen och sajten riktar sig till dig som skall köpa nya mobila prylar eller tjänster och dig som vill hålla koll på vad som händer i den mobila världen eller som jobbar inom mobilbranschen.

Mer om Mobil här.

Vi är Mobil

Kontakta Mobils redaktion.

Du hittar vår kontaktinformation här.

Mobils nyhetsbrev

Vårt dagliga nyhetsbrev håller dig uppdaterad om vad som händer i mobilbranschen.

Registrera dig här!