Checkmarx specialister afsløret detaljer af en farlig sårbarhed i en NFC program til Android. Angribere kan udnytte en bug, der gør det muligt at manipulere NFC-tags til at omdirigere ofre for en ondsindet websted og andre formål.
Than udviklere rettet fejlen i den seneste version af operativsystemet, men vil ikke fjerne det i tidligere udgivelser.Fejlen blev identificeret i Tags systemet program designet til at behandle signaler fra NFC-tags. Hvis en sådan chip er fundet inden enhedens radius af drift, programmet viser et vindue tilbyder at udføre en handling – For eksempel, følg linket eller foretage et opkald. Information sikkerhedseksperter har fundet, at en cyberkriminelle kan forstyrre driften af tags og uafhængigt vise sådanne meddelelser.
”Dette gjorde det muligt for en ondsindet program til at simulere modtage en NFC-tag, og kan simulere enhver type af tags, såsom NDE optegnelser. Ulempen for hackere er, at brugeren interaktion kræves for at udløse forskellige manipulationsscenarier”, - rapport Checkmarx specialister.
Forskere har beskrevet to manipulationsscenarier. Den første indebærer åbning en dialogboks, selv uden at opdage en NFC-tag, det andet indebærer at ændre indholdet af en legitim besked.
Ved at installere et ondsindet program på enheden, en hacker kan erstatte telefonen eller linket vises på skærmen for at tvinge brugeren til at gå til et phishing-websted eller foretage et opkald til en betalt nummer. Et angreb kræver samspil med ofret, som reducerer niveauet af truslen betydeligt.
”Det er vigtigt at bemærke, at selv om sårbarheden tillader smedning enhver NFC-tag, behovet for brugerinteraktion reducerer dens indvirkning betydeligt”, - skrive Checkmarx eksperter.
Årsagen til den CVE-2019-9295 bug er utilstrækkelig anvendelsesorienteret niveau tilladelse kontrol. Ifølge informationssikkerhed analytikere, I nogle tilfælde, malware behøver ikke engang udvidede privilegier, da det vil interagere med OS gennem den legitime Tags programmet.
Google-udviklere rettet en fejl i Android 10 ved at frigive en patch som en del af plastret kit, udgivet på September 3. Sårbarheden er til stede i tidligere OS udgivelser – de ikke har planer om at frigive opdateringer til dem, kun anbefalinger sikkerhedsmæssige.
Læs også: Endnu 0-dages sårbarhed opdaget i Android
I juni i år, Japanske forskere udviklet en metode til hacking en NFC-forbindelse, som tillod manipulere målenheden. Som en del af forsøget, forskerne har klikket på et ondsindet link og forbindes til et trådløst netværk uden kendskab til offeret. Angrebet krævede et omfangsrigt sæt udstyr, herunder en kobber mat, en transformator og en lille computer. imidlertid, forfatterne hævder, at hackere kunne montere enheder i et bord eller en anden overflade.
