Checkmarx Spezialisten enthüllten bisher unbekannte Details einer gefährlichen Schwachstelle in einem NFC-Anwendung für Android. Angreifer können einen Fehler auszunutzen, die NFC-Tags ermöglicht die Manipulation zum Opfer einer bösartigen Website und für andere Zwecke umgeleitet.
Ter Entwickler festgelegt, den Fehler in der neuesten Version des OS, aber es wird nicht in früheren Versionen beseitigen.Der Fehler wurde in dem identifizierten Tags System Anwendung, Signale von NFC-Tags zu verarbeiten,. Wenn ein solcher Chip wird innerhalb des Gerätes Arbeitsradius gefunden, zeigt das Programm ein Fenster bietet eine Aktion auszuführen – Zum Beispiel, folgen Sie dem Link oder einen Anruf tätigen. Information-Security-Experten haben festgestellt, dass ein Cyber-Kriminellen mit dem Betrieb von Variablen stören können und unabhängig solche Meldungen anzeigen.
„Diese Sicherheitsanfälligkeit ermöglicht eine bösartige Anwendung einen NFC-Tages zu simulieren Empfang, und kann jede Art von Tags simulieren, wie NDE Aufzeichnungen. Der Nachteil ist, dass Hacker für Interaktion mit dem Benutzer verschiedene Angriffsszenarien zu triggern ist erforderlich“, - Bericht Checkmarx Spezialisten.
Forscher haben zwei Angriffsszenarien beschrieben. Die erste umfasst ein Dialogfeld auch ohne Nachweis eines NFC-Tag Öffnungs, der zweite beinhaltet die Veränderung des Inhalts einer legitimen Nachricht.
Durch ein bösartiges Programm auf dem Gerät zu installieren, Ein Angreifer kann das Telefon oder den Link ersetzen auf dem Bildschirm dargestellt, um die Benutzer zu zwingen, auf eine Phishing-Seite zu gehen oder einen Anruf zu einer bezahlten Nummer machen. Ein Angriff erfordert die Interaktion mit dem Opfer, Dies reduziert deutlich den Grad der Bedrohung.
„Es ist wichtig, dass auch zu beachten, wenn die Anfälligkeit ermöglicht es jedem NFC-Tag schmieden, die Notwendigkeit einer Interaktion mit dem Benutzer reduziert seine Wirkung erheblich“, - Schreib Checkmarx Experten.
Der Grund für die CVE-2019-9295 Fehler sind nicht ausreichend auf Anwendungsebene Erlaubnis Prüfung. Nach Angaben Sicherheitsanalysten, In manchen Fällen, die Malware nicht einmal erweiterte Zugriffsrechte benötigen, da es mit dem Betriebssystem durch das legitime Stichwort Programm interagieren.
Google-Entwickler einen Fehler behoben in Android 10 durch einen Patch als Teil des Pflasters Kit Freigabe, veröffentlicht am September 3. Die Sicherheitslücke ist in früheren Versionen O – sie planen nicht Updates für sie freizugeben, nur Sicherheitsempfehlungen.
lesen Sie auch: Eine weitere 0-Day-Lücke in Android entdeckt
Im Juni dieses Jahres, Japanische Wissenschaftler entwickelten eine Methode der Hacker einen NFC-Verbindung, welches erlaubt, die Zielvorrichtung zu manipulieren. Im Rahmen des Experiments, die Forscher klickte auf einen schädlichen Link und mit einem drahtlosen Netzwerk ohne das Wissen des Opfers verbunden. Der Angriff benötigt, um eine sperrige Reihe von Geräten, einschließlich einer Kupfermatte, ein Transformator und ein kleiner Computer. jedoch, Die Autoren argumentieren, dass Angreifer Geräte in einer Tabelle oder einer anderen Oberflächenmontage könnte.
