During the conference BlackHat USA 2012 Charlie Miller showed how it is possible to include take control of the phone with NFC module.
The fact that NFC payments are not very safe form of settling their debts, Charlie Miller reported earlier. He also announced that during the BlackHat USA conference will present their findings. Miller presented it as promised. The attack involves sending NFC smartphone requests to open a document or web page. The attacker uses the errors contained in the readers, browsers, or system operating systems themselves.
The rest of the attack is based on the fact that the user can not or block any request to open a web page, or stop and transfer any file installation commissioned by the third device (such as a second phone with NFC module).
In this way, an attacker can call:
? read files from your victim (eg, documents or entries in the telephone directory)
? install the malware,
? make a call, send a text message or send any file.
For an attack was possible to carry out the victim's phone screen must be lit and unlocked. This means that the probability of attack decreases slightly.
The attack was carried out on mobile Galaxy Nexus S (Android 2.3 Gingerbread) and Nokia N9 (MeeGo). The better off are the users of the latter, because there NFC module is disabled by default. However, after switching it is possible to perform the attack described.
会議中にブラックハットUSA2012 Charlie Miller氏は、それが含まれることが可能である方法を示しましたNFCモジュールとの電話の制御を取る。
NFCの支払いは借金を解決する非常に安全な形ではないという事実、Charlie Miller氏は、以前報告した。彼はまた、ブラックハットUSA会議中にその結果を発表したことを発表しました。約束通りMillerはそれを提示した。攻撃は、ドキュメントやWebページを開くために、NFCスマートフォンリクエストを送信することが含まれます。攻撃者は、読者に含まれるエラー、ブラウザ、またはシステムのオペレーティングシステム自体を使用しています。
攻撃の残りの部分は、ユーザーがWebページを開く、またはサード装置(例えば、NFCモジュールを有する第2の電話番号など)の委託により、任意のファイルのインストールを中止し、転送するすべての要求をブロックしていないか、またはすることができるという事実に基づいています。
この方法では、攻撃者が呼び出すことができます。
?あなたの被害者からのファイル読み込み(電話帳で例えば、文書またはエントリ)
? 、マルウェアをインストール
?電話をかける、テキストメッセージを送信したり、任意のファイルを送信します。
攻撃のために被害者の携帯電話の画面点灯し、ロックを解除する必要がありますを行うことが可能であった。これは、攻撃の確率がわずかに減少することを意味します。
攻撃はモバイルギャラクシーネクサスS(Android 2.3ジンジャーブレッド)とノキアN9(MeeGoに)上で行った。より良いオフがNFCモジュールはデフォルトでは無効になっているので、後者のユーザーです。ただし、切り替え後にそれが説明された攻撃を行うことができる。
在会议期间,黑帽美国2012年查理·米勒表明它是如何可能包括控制与NFC模块的手机。
事实上,NFC支付的形式解决他们的债务是不是很安全,查理·米勒早些时候报道。他还宣布,在美国的Blackhat会议将展示他们的研究结果。米勒提出的承诺。攻击包括NFC智能手机发送请求打开一个文档或网页。攻击者使用的错误,在读者的浏览器或系统,操作系统本身。
其余的攻击是事实的基础上,用户不能或阻止任何请求打开一个网页,或停止和转移委托的第三个设备(如第二个电话NFC模块)的任何文件安装。
通过这种方式,攻击者可以拨打:
?从受害者的读取文件(如文件或在电话簿中的条目)
?安装恶意软件,
?拨打电话,发送文字信息或发送任何文件。
对于攻击是可能的受害者的手机屏幕一定要亮和解锁。这意味着,攻击的概率略有下降。
移动的Galaxy Nexus S(Android 2.3姜饼)和诺基亚N9(MeeGo的)上进行的攻击。更好的是后者的用户在默认情况下是禁用的,因为有NFC模块。然而,切换后,它能够执行攻击描述。
No comments:
Post a Comment