¿Será segura la tecnología NFC recientemente adoptada?

Navega tus respuestas
2

Me enviaron un enlace hoy hablando sobre cómo la compañía de tarjetas de presentación "Moo" está implementando un chip en sus tarjetas que permitirá a las conexiones NFC hacer muchas cosas, como compartir información de contacto, abrir un sitio web, abrir una página de redes sociales, etc.

Por lo tanto, personalmente no sé mucho sobre NFC o la conexión que establece, pero a mi entender, es una conexión de radio. Entonces, una vez que el chip y el dispositivo se dan cuenta de que están conectados, ejecuta un comando, probablemente algo así como 

if device=connected{
do this
} else {
end / don't run command
};

Me preguntaba, ¿qué tan segura puede ser esta conexión? Desde el principio, creo que representa un gran riesgo de seguridad para un par de amenazas, solo una lista en la que pensé:

Tocas la tarjeta y:

  • El chip instala software (keylogger)
  • El chip roba algo (Apple mantiene su información de pago en la configuración general de la tienda de aplicaciones)
  • La señal de radio es interceptada por un tercero

¿Qué tan posibles son estos escenarios? ¿Debería alguien preocuparse por usar las nuevas tarjetas NFC?

(Lo siento, no estoy realmente seguro de qué etiquetar esto)

    
pregunta knocked loose 08.10.2015 - 18:11
fuente

5 respuestas

3

NFC es un estándar para una transmisión de paquetes.

El paquete puede tener una carga útil.

La carga útil puede ser dañina, pero requeriría que un programa escuche esa carga útil para hacer daño.

Entonces, no, esto no puede suceder a menos que un usuario instale una aplicación maliciosa enviada, visite una página web peligrosa o un programa que acepte paquetes NFC tenga una vulnerabilidad.

¿Por qué? Bueno, realmente lo que envías a través de NFC es solo un archivo. El usuario entonces tiene que abrir el archivo. Esto puede ser un acceso directo a la web, un instalador de programas, un archivo de texto, y así sucesivamente. Sin embargo, estos archivos NUNCA pueden ejecutarse automáticamente. Deben ser abiertos. Si hay un programa que espera un archivo, lo abrirá, pero el programa debe ser la aplicación de primer plano o un manejador de servicios frente al comunicador NFC del sistema operativo.

¿Qué significa esto para la seguridad?

Al igual que muchos otros sistemas, esto significa que los usuarios malos son el peligro aquí. Si se envía un archivo y causa daño, es porque el usuario permitió que se enviara y causa daño al usar un programa diseñado para aceptar estos paquetes NFC de la fatalidad.

¿Debería preocuparme por la NFC?

Respuesta corta: No.

Respuesta larga: Debes tener cuidado. Al igual que el HTTP, NFC es un protocolo. Debes tomar un programa malicioso para que algo malo suceda.

¿Cómo evito que esto suceda?

Desactive NFC y, si tiene que usarlo, utilice las mejores prácticas:

  • No aceptes NFC de fuentes o personas en las que no confíes o que no hayas confirmado como seguras

  • No deje la NFC encendida si no la está utilizando (como BT, wifi, una estufa ...)

  • No vea, acepte ni instale contenido en el que no confía (en general, no solo sobre NFC)

Al seguir estos consejos y al estar seguro, NFC no es más peligroso que el bluetooth.

EDITAR: Dirigiéndose a alguien que lee la comunicación por aire: NFC tiene una distancia de viaje extremadamente pequeña (debido a la potencia utilizada). Si hay algo junto a usted, su dispositivo y la cosa con la que se está comunicando, pregunte si es necesario para que esté allí. Si la respuesta es no, no uses NFC.

    
respondido por el Robert Mennell 09.10.2015 - 00:05
fuente
5

La NFC es simplemente otro medio como los cables, wifi, microondas, luces, etc. Es responsabilidad de los profesionales de la seguridad crear y guiar su uso seguro ya sea para pagos, intercambio de datos o cualquier otro propósito.

Ser un medio invisible probablemente conlleva sus propios riesgos en términos de conciencia, pero no hay nada intrínseco más allá de su invisibilidad que sugiera que será más o menos seguro como un medio.

En cuanto a sus escenarios, no creo que el medio sea relevante, solo los sistemas que lo utilizan y que dependerán del diseño, la arquitectura y la implementación seguros como cualquier otro.

La gente ha estado hablando sobre este tema desde hace algún tiempo en un contexto de seguridad y la conciencia definitivamente está creciendo.

    
respondido por el David Scholefield 08.10.2015 - 18:43
fuente
2

Un par de puntos. NFC no es realmente "nuevo" en el sentido de la tecnología. Varios años de edad, pero solo ha tenido una adopción limitada en áreas específicas. Dicho esto, se usa bastante en áreas específicas.

presentación de 3 años del MIT

Al igual que con cualquier tecnología , siempre hay problemas de seguridad. El escenario de explotación al que alude puede ser posible o no, según los modos en cuestión, las aplicaciones y los permisos establecidos en los dispositivos. Sus preguntas son bastante amplias y no específicas, y con las vulnerabilidades técnicas, el diablo está siempre en los detalles.

    
respondido por el 0xSheepdog 08.10.2015 - 18:42
fuente
1

Desafortunadamente, "NFC" no es un término bien definido y puede significar muchas cosas diferentes en diferentes contextos. Principalmente está el Foro NFC que define un par de cuasi estándares de la industria:

  • NFCIP-1: la interfaz y el protocolo NFC, que en realidad es un estándar "real" publicado conjuntamente como ISO 18092 y ECMA-340, es un protocolo de radio semidúplex para transferir datos a velocidades de bits medias (~ 100 a 800 kbits) / s) en distancias cortas (especificadas menos de 10 cm) entre dos partes, un iniciador y un objetivo. No por accidente, este protocolo es en su mayoría compatible con ISO 14443, que se ha utilizado para fines similares durante más tiempo.
  • NDEF: formato de intercambio de datos NFC, que es un formato compacto de almacenamiento de datos binarios y serialización de mensajes.
  • RTD: Definición de tipo de registro NFC, un formato de especificación para mensajes NDEF
  • Los tipos de etiquetas NFC 1 a 4, que definen el protocolo de radio y los datos de almacenamiento de mensajes lógicos para varias etiquetas NFC pasivas. Estas son esencialmente solo unidades de almacenamiento de datos pasivos con una interfaz de radio.
  • Varios formatos de mensajes (a través de RTD) y semántica esperada para casos de uso comunes como, y aquí es donde entran sus tarjetas de visita, tarjetas de visita, carteles inteligentes, etc.

Dos aspectos importantes aquí: el Foro NFC no especifica nada en absoluto que se clasifique como una "característica de seguridad", excepto los bits de bloqueo. En general, después de escribir un mensaje en una etiqueta, puede establecer un bit y luego la etiqueta será de solo lectura y se resistirá a los intentos adicionales de escribir en ella. Y: los mensajes NDEF son solo eso: mensajes. No hay ningún código ejecutable u otra magia activa involucrada aquí.

En el caso de uso de tarjetas de visita (que, como puede ver, no fue inventado por Moo), escribe un mensaje NDEF a la tarjeta que básicamente dice: "Soy una tarjeta de visita, este es mi nombre:. .., este es mi número de teléfono: ... «, etc. Luego, otro dispositivo puede (usando NFCIP) comunicarse con la etiqueta, leer el mensaje y pedirle al usuario que realice más acciones (como: agregar el contenido de este negocio tarjeta como un nuevo contacto en la guía telefónica).

Hay otros tipos de mensajes NDEF que son un poco más peludos: una solicitud de llamada contiene un número de teléfono y la semántica esperada al leer el mensaje con un teléfono es que se pregunta al usuario si desea llamar a ese número.

Nuevamente: no se implementan ni reclaman propiedades de seguridad. Nadie sabe de dónde provienen los datos que se leen de la etiqueta. Pero como en realidad no es un programa o código de computadora, usted solo tendrá problemas de seguridad si el analizador en el dispositivo de lectura no funciona o si el dispositivo hace cosas sin el consentimiento del usuario. De los cuales hubo algunos casos en el pasado.

    
respondido por el Henryk Plötz 08.10.2015 - 22:19
fuente
-1

Este enlace de conceptos básicos de la NFC debería aclarar algo de eso. Incluso puedes intentarlo Aquí .

Se está usando mucho hoy en día, principalmente etiquetas pasivas como tarjetas de visita y esta etiqueta que apareció en Australia hace aproximadamente 2 años (creo): [foto grande quitada. Ed.]

Editar: olvidé mencionar que las "etiquetas" están reemplazando rápidamente los códigos QR debido a su facilidad de uso y simplicidad, y solo almacenan una cantidad muy pequeña de datos como una url, enlace de aplicación (para una tienda de aplicaciones) o una "tarjeta de contacto" para su teléfono. No sé los límites de esto, no me meto.

Si lees el primer enlace allí, verás etiquetas "pasivas" como las que he mencionado. Estos no ejecutan nada, solo almacenan una línea de texto, como un escáner de código de barras invisible. La otra opción es dispositivos "activos", que probablemente sea su teléfono inteligente o algo similar, son más potentes. Pero los dispositivos activos no tomarán medidas para las que no fueron diseñados y normalmente preguntan "¿qué quieres hacer con esta URL?". A menos que se descubra un problema de seguridad, y estoy seguro de que se solucionará rápidamente, hay muy poco de qué preocuparse. La NFC está incluso encriptada para que los forasteros no puedan escuchar.

    
respondido por el Amateur NetMan 08.10.2015 - 19:11
fuente

Lea otras preguntas en las etiquetas

¿Son seguros los escáneres? ¿Qué tan malo es * * no reiniciar un servidor después de las actualizaciones del núcleo?