Checkmarx 전문가 세부 사항을 공개 안드로이드를위한 NFC 응용 프로그램에서 위험한 취약점. 공격자는 악의적 인 사이트와 다른 목적으로 피해자를 리디렉션 NFC 태그를 조작 허용하는 버그를 악용 할 수 있습니다.
티그는 개발자는 OS의 최신 버전에서 버그를 수정, 그러나 이전 릴리스에서 제거되지 않습니다.오류가에서 확인되었다 태그 시스템 디자인 응용 프로그램은 NFC 태그로부터의 신호를 처리하는. 이러한 칩은 연산 장치의 반경 내에서 발견되면, 프로그램은 어떤 작업을 수행하기 위해 제공하는 창을 표시합니다 – 예를 들면, 링크를 따르거나 전화를 걸. 정보 보안 전문가들은 사이버 범죄가 태그의 작동을 방해하고 독립적으로 메시지를 표시 할 수있는 것으로 나타났습니다.
"이 취약점은 악의적 인 응용 프로그램이 NFC 태그를 수신 시뮬레이션 할 수 있습니다, 및 태그의 모든 유형을 시뮬레이션 할 수 있습니다, 같은 NDE 기록과 같은. 해커의 단점은 "사용자 상호 작용이 다른 공격 시나리오를 실행하는 데 필요한 것입니다, - 보고서 Checkmarx 전문가.
연구팀은이 개 공격 시나리오를 설명했다. 첫 번째는 심지어 NFC 태그를 감지하지 않고 대화 상자를 열고 포함, 제 합법적 메시지의 내용을 변경하는 것을 포함한다.
장치에 악성 프로그램을 설치하여, 화면에 표시된 전화 또는 링크를 대체 할 수있는 공격자는 유료 번호로 피싱 사이트를 방문하거나 전화를 거는 사용자를 강제로. 공격은 피해자와의 상호 작용이 필요, 이는 크게 위협의 수준을 감소.
"이 취약점은 어떤 NFC 태그를 위조 할 수에도 불구하고주의하는 것이 중요하다, 사용자 상호 작용에 대한 필요성은 "상당히 미치는 영향을 감소, - 쓰기 Checkmarx 전문가.
이유 CVE-2019-9295 버그가 불충분 한 응용 프로그램 수준의 권한 검사입니다. 정보 보안 전문가에 따르면,, 일부 경우에, 악성 코드도 확장 된 권한이 필요하지 않습니다, 그것은 합법적 인 태그 프로그램을 통해 OS와 상호 작용하기 때문에.
구글 개발자들은 안드로이드의 버그를 수정 10 패치 키트의 일부로 패치 박리하여, 9 월 출시 3. 이 취약점은 이전 OS 릴리스에 존재 – 그들에 대한 업데이트를 출시 할 계획이없는, 단지 보안 권장 사항.
또한 읽기: 안드로이드에서 발견 된 또 다른 0 데이 취약점
올해 6 월에, 일본어 과학자는 NFC 연결을 해킹하는 방법을 개발, 이는 대상 기기를 조작 할 수. 실험의 일환으로, 연구진은 악의적 인 링크를 클릭하고 피해자의 지식없이 무선 네트워크에 연결. 공격은 장비의 부피가 큰 세트를 필요, 구리 매트 포함, 변압기 및 소형 컴퓨터. 하나, 저자는 공격자가 테이블이나 다른 표면에 장치를 장착 할 수 있다고 주장.
