especialistas Checkmarx revelou detalhes de uma vulnerabilidade perigosa em um aplicativo NFC para Android. Atacantes podem explorar um bug que permite a manipulação de tags NFC para redirecionar as vítimas para um site malicioso e outros fins.
Tele desenvolvedores fixou o bug na versão mais recente do sistema operacional, mas não vai eliminá-lo em versões anteriores.O erro foi identificado no etiquetas sistema aplicação desenhada para processar sinais de tags NFC. Se tal chip é encontrado dentro de raio de operação do dispositivo, o programa exibe uma janela oferecendo para executar alguma ação – Por exemplo, siga o link ou fazer uma chamada. especialistas de segurança da informação descobriram que um cibercriminoso pode interferir com o funcionamento de Etiquetas e independentemente exibir tais mensagens.
“Esta vulnerabilidade permite que um aplicativo malicioso para simular receber uma tag NFC, e pode simular qualquer tipo de marcas, tais como registos NDE. A desvantagem para hackers é que a interacção do utilizador é necessária para desencadear diferentes cenários de ataque”, - especialistas Checkmarx relatório.
Os pesquisadores descreveram dois cenários de ataque. O primeiro envolve a abertura de uma caixa de diálogo, mesmo sem detectar uma tag NFC, a segunda envolve a alteração o conteúdo de uma mensagem legítima.
Ao instalar um programa malicioso no dispositivo, um atacante pode substituir o telefone ou o link mostrado na tela para forçar o usuário a ir a um site de phishing ou fazer uma chamada para um número pago. Um ataque exige interação com a vítima, o que reduz significativamente o grau de ameaça.
“É importante notar que, embora a vulnerabilidade permite forjar qualquer tag NFC, a necessidade de interação do usuário reduz o seu impacto consideravelmente”, - especialistas Checkmarx gravação.
A razão para a CVE-2019-9295 bug é insuficiente em nível de aplicativo verificação de permissão. De acordo com analistas de segurança da informação, Em alguns casos, o malware não vai mesmo precisar de privilégios estendidos, uma vez que irá interagir com o sistema operacional através do Tag programa legítimo.
desenvolvedores do Google corrigiu um bug no Android 10 libertando um remendo como parte do kit de remendo, lançado em setembro 3. A vulnerabilidade está presente nas versões anteriores do sistema operacional – eles não planejam lançar atualizações para eles, apenas recomendações de segurança.
Leia também: Outra vulnerabilidade 0-day descoberto em Android
Em junho deste ano, Cientistas japoneses desenvolveram um método de cortar uma conexão NFC, que permitiu a manipulação do dispositivo de destino. Como parte da experiência, os pesquisadores clicou em um link malicioso e conectado a uma rede sem fio sem o conhecimento da vítima. O ataque necessário um conjunto de equipamentos volumosos, incluindo uma esteira de cobre, um transformador e um pequeno computador. Contudo, os autores argumentam que os atacantes poderiam montar os dispositivos em uma mesa ou outra superfície.
