especialistas Checkmarx revelado detalles de una vulnerabilidad peligrosa en una aplicación NFC para Android. Los atacantes pueden explotar un bug que permite la manipulación de etiquetas NFC para redirigir las víctimas a un sitio malicioso y otros fines.
Tél desarrolladores Corregido el error en la última versión del sistema operativo, pero no lo eliminará en versiones anteriores.El error fue identificado en el Etiquetas sistema aplicación diseñada para procesar las señales de las etiquetas NFC. Si un chip de este tipo se encuentra dentro del radio del dispositivo de operación, el programa muestra una ventana que ofrece para realizar alguna acción – Por ejemplo, siga el enlace o hacer una llamada. los expertos en seguridad de la información han descubierto que un ciberdelincuente puede interferir con el funcionamiento de las etiquetas e independientemente mostrar este tipo de mensajes.
“Esta vulnerabilidad permite a una aplicación maliciosa para simular recibir una etiqueta NFC, y puede simular cualquier tipo de etiquetas, tales como registros NDE. La desventaja para los hackers es que se requiere la interacción del usuario para desencadenar diferentes escenarios de ataque”, - Informe especialistas Checkmarx.
Los investigadores han descrito dos escenarios de ataque. La primera consiste en la apertura de un cuadro de diálogo incluso sin la detección de una etiqueta NFC, la segunda implica cambiar el contenido de un mensaje legítimo.
Mediante la instalación de un programa malicioso en el dispositivo, un atacante puede sustituir el teléfono o en el enlace que se muestra en la pantalla para obligar al usuario a ir a un sitio de phishing o hacer una llamada a un número de abonado. Un ataque requiere la interacción con la víctima, lo que reduce significativamente el nivel de amenaza.
“Es importante señalar que a pesar de la vulnerabilidad permite falsificar cualquier etiqueta NFC, la necesidad de la interacción del usuario reduce su impacto considerablemente”, - Escribir expertos Checkmarx.
La razón de la CVE-2019-9295 bug es insuficiente a nivel de aplicación de comprobación de permisos. Según los analistas de seguridad de la información, En algunos casos, el malware ni siquiera necesitará privilegios ampliados, ya que interactuará con el sistema operativo a través del programa Etiquetas legítima.
desarrolladores de Google ha corregido un error en Android 10 mediante la liberación de un parche como parte del kit de parches, liberada de septiembre 3. La vulnerabilidad está presente en las versiones anteriores del sistema operativo – que no planean lanzar actualizaciones para ellos, sólo recomendaciones de seguridad.
leer también: Otra vulnerabilidad 0-day descubierto en Android
En junio de este año, Científicos japoneses desarrollaron un método de cortar una conexión NFC, lo que permitió la manipulación del dispositivo de destino. Como parte del experimento, los investigadores han hecho clic en un enlace malicioso y se conectan a una red inalámbrica sin el conocimiento de la víctima. El ataque requiere un conjunto de equipos voluminosos, incluyendo una estera de cobre, un transformador y un pequeño ordenador. sin embargo, los autores argumentan que los atacantes podrían montar dispositivos en una mesa u otra superficie.
