2012年7月27日 星期五

資安專家發現 Android 手機 NFC 安全漏洞

資安專家 Charlie Miller 今天展示了如何利用 Android 和 Meego 手機上的多個 NFC 漏洞。他可以利用自己設計的 NFC 標籤,在上述兩個平台的手機上執行有害的程式碼。 
[img]http://chinese.vr-zone.com/wp-content/uploads/2012/07/android_nfc_hack-640x360.png[/img] 

資安專家發現了存在於 Android 和 Meego 手機中的 NFC 漏洞。 
資安專家 Charlie Miller 今天展示了如何利用 Android 和 Meego 手機上的多個 NFC 漏洞。他可以利用自己設計的 NFC 標籤,在上述兩個平台的手機上執行有害的程式碼。 

他設計的 NFC 標籤可以放在結帳處或是其他公共場所,在使用者想利用手機上的 NFC 付帳時,入侵他們的手機。這個漏洞並不是由 NFC 這個標準造成的,NFC 規格的安全性仍然毋庸置疑,Charlie Miller 所利用的漏洞是 Meego 和 Android 在支援 NFC 標準時所整合的軟體所造成。 
[img]http://chinese.vr-zone.com/wp-content/uploads/2012/07/Screen-Shot-2012-07-26-at-9.16.22-PM.png[/img] 
Charlie Miller 也表示 Google 設計的 Android Beam 功能可以讓使用者透過 NFC 啟動瀏覽器,因此可以執行一大堆經由網路的入侵行動。駭客們將不僅是利用 NFC 的軟體層來入侵,而可以利用整個瀏覽器與其可以達成功能來做為入侵工具。 

雖然在之前數版的 Android 中多數的瀏覽器漏洞已經補起來,不過即使在最新的 Android ICS 版本中,仍留有與 WebKit 相關的多個安全漏洞。 

在 Android 2.3 上,Charlie Miller 可以綁架控制 NFC 功能的程式 daemon,而不只是開啟瀏覽器而已。幸好運行 Android 2.3 又具有 NFC 功能的裝置非常少,因此實際使用的可能性不大。Charlie Miller 表示 NFC 可以讓駭客們更容易將他們的程式碼安裝到你的裝置上。他以 PDF 漏洞為例,過去要利用這個漏洞必須將程式寄送到受害者的電子郵件,或是想辦法讓他們造訪你的網站;現在你只要接近他們利用 NFC 傳輸就可以了。 


美國 Google 目前拒絕評論 Charlie Miller 找到的漏洞,不過 Google 似乎早就知道這個漏洞存在。雖然使用者可以完全關閉 Android Beam 功能,不過我們還是希望能夠快點看到 Android Beam 能在要執行動作前,先彈出通知告訴使用者。 


[轉貼] 資安專家發現 Android 手機 NFC 安全漏洞

1 則留言:

匿名 提到...

http://tv.letv.com/zt/huanzhu2011/index.html