2012/07/26

Androids e Nokias em Risco via NFC


Tenho que começar este post dizendo algo como: "Eu ainda sou do tempo, em que um SMS com alguns caracteres especiais eram capazes de crashar alguns telemóveis". E para os fãs do bluetooth, caso se pusesse o nome do nosso equipamento com um nome também contendo alguns desses caracteres, era o suficiente para ir crashando alguns Nokia nas proximidades.

Parece incrível como certas funcionalidades básicas continuam tantas vezes a ser a porta de entrada que hackers exploram para se apoderar de equipamentos. E, para demonstrar que isso é mesmo recorrente, um investigador demonstrou na conferência Black Hat como usar o NFC como vertente de ataque em Android e Nokias.

Na versão resumida, bastará passar uma "tag" pelo smartphone, para poderem ganhar o controlo sobre ele. Na versão longa, não é bem assim... e a falha tem mais a ver com o facto destes sistemas permitirem o início automático de funções "disparadas" pelo NFC. No caso do Android, o sistema tentará abrir automaticamente um site, que poderá explorar uma vulnerabilidade do browser, e assim instalar um malware remoto, etc. No caso do Nokia N9, o sistema permitiria fazer o pairing do Bluetooth via NFC, mesmo quando o utilizador tem o Bluetooth desligado, e assim permitir fazer chamadas, etc.

Em ambos os casos, os riscos reais seriam ainda mais limitados, pelo facto do NFC só funcionar quando o ecrã está activo... pelo que não bastará passar uma tag NFC maliciosa pelo aparelho com ele "desligado".

No entanto, serve de alerta para o tipo de coisas que podem ser exploradas e abusadas. Para este investigador, nenhuma função deveria ser automaticamente lançada através do NFC (devendo, por exemplo, apresentar uma pergunta de confirmação ao utilizador). No entanto, até que ponto é que essas perguntas se poderão tornar num entrave à utilização dos aparelhos?

Será que para alguém que queira usar uma TAG NFC para alternar entre os modos de condução/normal, colando uma destas tags no seu automóvel, estará disposto a ter que pressionar em mais um ou dois botões para dar uso a essa funcionalidade? Quando a principal vantagem "vendida" pelo NFC é precisamente evitar essas operações manuais?

Um caso que certamente continuará a dar que falar no futuro.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]