Checkmarx specialisten details bekend van een gevaarlijke kwetsbaarheid in een NFC-applicatie voor Android. Aanvallers kunnen een bug die het mogelijk maakt het manipuleren van NFC-tags om slachtoffers doorverwijzen naar een kwaadaardige site en andere doeleinden te benutten.
THij ontwikkelaars vast de bug in de nieuwste versie van het OS, maar zal niet ongedaan maken in eerdere releases.De fout werd geïdentificeerd in de Tags systeem applicatie ontworpen om signalen van NFC labels verwerken. Indien een dergelijke chip binnen werkingsstraal het apparaat, toont het programma een raam met een bepaalde actie uit te voeren – Bijvoorbeeld, volg de link of bellen. Information security experts hebben ontdekt dat een cybercrimineel kan interfereren met de werking van Tags en onafhankelijk zulke berichten weer te geven.
“Deze kwetsbaarheid kan een kwaadaardige toepassing te simuleren het ontvangen van een NFC-tag, en kan elk type labels simuleren, zoals NDE-records. Het nadeel is dat hackers Gebruikers hoeven verschillende overvalscenario's activeren”, - verslag Checkmarx specialisten.
Hebben de onderzoekers twee overvalscenario's. De eerste betreft het openen van een dialoogvenster, zelfs zonder het detecteren van een NFC-tag, de tweede omvat het veranderen van de inhoud van een legitiem bericht.
Door het installeren van een kwaadaardig programma op het apparaat, Een aanvaller kan de telefoon of de link op het scherm te vervangen door de gebruiker te dwingen om naar een phishing-site of maak een oproep naar een betaald nummer. Een aanval vereist een interactie met het slachtoffer, die aanzienlijk vermindert het niveau van de dreiging.
“Het is belangrijk op te merken dat, hoewel de kwetsbaarheid maakt het smeden van elke NFC-tag, de gebruiker worden uitgevoerd vermindert de invloed aanzienlijk”, - write Checkmarx experts.
De reden voor de CVE-2019-9295 bug onvoldoende toepassingsniveau toestemming checking. Volgens informatiebeveiliging analisten, In sommige gevallen, de malware zal niet eens uitgebreide privileges nodig, omdat het zal werken met het besturingssysteem via de legitieme Tags programma.
Google ontwikkelaars vast een bug in Android 10 door het vrijgeven van een patch van de patch kit, uitgebracht op september 3. De kwetsbaarheid is aanwezig in eerdere versies OS – ze niet van plan om updates voor hen vrij te laten, alleen aanbevelingen veiligheid.
Lees ook: Een andere kwetsbaarheid 0-day in Android ontdekt
In juni van dit jaar, Japanse wetenschappers ontwikkelden een methode voor het hacken van een NFC-verbinding, waardoor het manipuleren van de doelinrichting. Als onderdeel van het experiment, de onderzoekers geklikt op een schadelijke koppeling en verbonden met een draadloos netwerk zonder de kennis van het slachtoffer. De aanval vereist een omvangrijke set van apparatuur, waaronder een koperen mat, een transformator en een kleine computer. Echter, de auteurs stellen dat aanvallers apparaten in een tafel of een ander oppervlak kan monteren.
