Mauro Vecchio

NFC, tutti i bug di Android e MeeGo

L'esperto Charlie Miller ha identificato alcune vulnerabilità nell'implementazione della tecnologia NFC su device come Nexus S e Nokia N9

Roma - Tra i più stimati esperti in sicurezza informatica, Charlie Miller si è presentato sul palco all'ultima edizione del ciclo di conferenze Black Hat. Spiegando alle folle come controllare uno smartphone basato su Android - in realtà, anche gli esemplari di Nokia N9 con il sistema operativo MeeGo - attraverso la tecnologia nota come Near Field Communication (NFC).

In via del tutto generica, le offensive basate sulla tecnologia NFC prevedono l'utilizzo di un lettore nascosto per trafugare i dati contenuti in una qualsiasi carta abilitata al trasferimento di informazioni come un numero di telefono o indirizzi web. Il malintenzionato di turno dovrebbe avvicinare il lettore fraudolento a pochi centimetri dalla tasca della vittima, in modo da strappare i dati in maniera efficace.

Charlie Miller ha invece scoperto una tecnica alternativa, ovvero basata su un tag NFC che indirizza automaticamente - e soprattutto in maniera silente - un dispositivo ad un sito malevolo attraverso Android Beam. L'esperto ha dimostrato alla platea del Black Hat di essere in grado di scaricare un malware per il conseguente sfruttamento di una vulnerabilità a livello browser.
In sostanza, il sito fraudolento permetterebbe ai cracker di installare in automatico un software maligno, ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Nei casi peggiori, il malware permette il controllo remoto dei vari dispositivi basati su Android. Lo stesso Miller avrebbe poi scovato dei bug nelle modalità di lettura del codice da parte delle tecnologie NFC.

Tra i dispositivi vulnerabili, Nexus S e Galaxy Nexus, entrambi prodotti da Samsung. Almeno una di queste vulnerabilità sarebbe stata risolta con Ice Cream Sandwich, ma non all'interno di Gingerbread. Sui Nokia N9, l'abilitazione di default della modalità NFC andrebbe a condividere automaticamente le informazioni attraverso Bluetooth (anche se disattivato). I malintenzionati sarebbero liberi di effettuare chiamate senza il consenso del proprietario del telefono.

Mauro Vecchio
Notizie collegate
33 Commenti alla Notizia NFC, tutti i bug di Android e MeeGo
Ordina
  • «Android per la sicurezza è il selvaggio west»

    http://www.macitynet.it/macity/articolo/Black-Hat-...

    Notare la conclusione:

    “Speriamo che Google risolva rapidamente il problema” ha detto Nicholas Percoco, vice presidente senior degli SpiderLabs di Trustwave.

    Peccato che:
    Secondo Marc Maiffret, chief technology officer della società specializzata in sicurezza BeyondTrust con gli ultimi update “Google ha aggiunto ottime funzionalità di sicurezza, ma nessuno le sfrutta”. A detta degli esperti, gli iPhone e gli iPad non hanno gli stessi problemi di sicurezza dei dispositivi Android poiché Apple spinge carrier e utenti ad aggiornare il sistema operativo velocemente quando una nuova versione di quest’ultimo è rilasciata.

    Beh, non vi rimane che tenere oliato il fucile sopra il caminetto... Rotola dal ridere
    ruppolo
    33147
  • prima di commentare in questo articolo ... avresti dovuto informarti sull'acquisizione odierna della tua apple
    non+autenticato
  • - Scritto da: ruppolo
    > «Android per la sicurezza è il selvaggio
    > west»

    >
    > http://www.macitynet.it/macity/articolo/Black-Hat-
    >
    > Notare la conclusione:
    >
    > “Speriamo che Google risolva rapidamente il
    > problema” ha detto Nicholas Percoco, vice
    > presidente senior degli SpiderLabs di
    > Trustwave.

    >
    > Peccato che:
    > Secondo Marc Maiffret, chief technology
    > officer della società specializzata in sicurezza
    > BeyondTrust con gli ultimi update “Google ha
    > aggiunto ottime funzionalità di sicurezza, ma
    > nessuno le sfrutta”. A detta degli esperti, gli
    > iPhone e gli iPad non hanno gli stessi problemi
    > di sicurezza dei dispositivi Android poiché Apple
    > spinge carrier e utenti ad aggiornare il sistema
    > operativo velocemente quando una nuova versione
    > di quest’ultimo è
    > rilasciata.

    >
    > Beh, non vi rimane che tenere oliato il fucile
    > sopra il caminetto...
    > Rotola dal ridere
    ruppolo, sei imbarazzante. Renditene conto! (del resto come le dichiarazioni giornalistiche che riporti... )
    non+autenticato
  • i telefoni google experience sono sempre aggiornati mentre ho tanti amici con Iphone che non tutti hanno l'ultima versione di ios. puoi sempre cullarti fino a quando apple non implementa la sua e l'hacker russo di turno glielo apre. apple non è mai stata ferrata sulla sicurezza
  • - Scritto da: Sherpya
    > i telefoni google experience sono sempre
    > aggiornati

    Si, l'1%.

    > mentre ho tanti amici con Iphone che
    > non tutti hanno l'ultima versione di ios.

    Troppo difficile fare un tap su aggiorna?

    > puoi
    > sempre cullarti fino a quando apple non
    > implementa la sua e l'hacker russo di turno
    > glielo apre. apple non è mai stata ferrata sulla
    > sicurezza

    Apple è talmente avanti sulla sicurezza che gli hacker hanno gettato la spugna.
    E questo prima di arrivare ai centinaia di milioni di malware di Windows e ai migliaia di Android.
    ruppolo
    33147
  • ios è chiuso questo evita di affrontare problemi di sicurezza non li risolve.
    osx ha pochi malware perché non li hanno fatti non perché è più sicuro. osx ha un sacco di bug di sicurezza che non si preoccupano manco di risolvere. la soluzione è farlo diventare chiuso come ios e ovviamente ci risiamo evitano di affrontare. se sei convinto ancora del fatto che Apple sia ferrata sulla sicurezza vuol dire che conosci ben poco i loro os, e probabilmente sei solo un fanatico
    -----------------------------------------------------------
    Modificato dall' autore il 29 luglio 2012 12.59
    -----------------------------------------------------------
  • - Scritto da: Sherpya

    > ...se sei convinto ancora del fatto che
    > Apple sia ferrata sulla sicurezza vuol dire che
    > conosci ben...

    E tu sei un esperto? Mmmm... vediamo su... raccontaci qualcosa di più concreto.
    FDG
    10910
  • - Scritto da: FDG
    > - Scritto da: Sherpya
    >
    > > ...se sei convinto ancora del fatto che
    > > Apple sia ferrata sulla sicurezza vuol dire
    > che
    > > conosci ben...
    >
    > E tu sei un esperto? Mmmm... vediamo su...
    > raccontaci qualcosa di più
    > concreto.

    beh quello di java ad esempio l'ha chiuso presto Con la lingua fuori
  • - Scritto da: Sherpya

    > beh quello di java ad esempio l'ha chiuso presto
    > Con la lingua fuori

    Ah, beh, una cosa poco nota. Se lo chiedevo a mio nipote mi dava la stessa risposta.

    Comunque, non era sull'iPhone e stai dando ragione a chi osserva che le tempistiche degli aggiornamenti contano: se non si aggiorna si corrono rischi. Stranamente il software open source viene mediamente aggiornato in tempi molto rapidi, ma non nel caso di Android. Perché, al contrario di quanto avviene ad esempi con una qualsiasi distro linux, i soggetti a cui è demandato il rilascio dell'aggiornamento se la prendono molto comoda. In pratica, il fatto che sia open non rende automaticamente un software più sicuro. Ma questo credo che sia stato detto più volte.

    Il software open source da delle opportunità. Non c'è alcuna certezza che queste vengano sfruttate. E quindi contano ANCHE altre cose.
    FDG
    10910
  • un'altra risposta da tuo nipote: nessun hacker russo ha ownato il market di android o di ms
  • - Scritto da: Sherpya

    > un'altra risposta da tuo nipote: nessun hacker
    > russo ha ownato il market di android o di
    > ms

    La classica risposta da bimbominkia. Annoiato

    Sul resto non mi hai detto un c...

    Dubito che sia capace di intrattenere una discussione seria. Più del livello di mio nipote non puoi superare.
    -----------------------------------------------------------
    Modificato dall' autore il 30 luglio 2012 14.47
    -----------------------------------------------------------
    FDG
    10910
  • È un augurio ai cracker e i "vostri" Android sono ovviamente quelli delle vittime Indiavolato
    ruppolo
    33147
  • - Scritto da: ruppolo
    > È un augurio ai cracker e i "vostri" Android sono
    > ovviamente quelli delle vittime
    >Indiavolato

    Tu goditi questoSorride
    http://www.zdnet.com/new-mac-trojan-installs-silen.../
    non+autenticato
  • Se un malware su Mac mi dovrebbe preoccupare, gli utenti Windows si sarebbero dovuti sparare tutti da quindici anni a questa parte.

    Su, vatti a scaricare un wallpaper da Google Play Rotola dal ridere
    ruppolo
    33147
  • Hai la memoria corta? Sai chi è Charlie Miller?
    Si proprio lui, quello che ha trovato un bug su iOS, l'ha SFRUTTATO (scopo dimostrativo) e grazie alla apple è stato bannato dall'app store. Ecco come correggono le falle, bannando gli hacker che per scopo dimostrativo gli fanno un piacere...

    Su, vatti a scaricare l'applicazione di Charlie Miller
    non+autenticato
  • Inoltre da sviluppatori ufficiali, apple vorrebbe rimuovere NFC da iPhone 5 non per il risparmio energetico, ma per l'impossibilità di implementarlo senza creare un exploit sfruttabile.
    Poi ora che è pure scaricabile tutto gratis da app store la frittata è fatta.
    PS: Non è colpa di Android, Megoo o iOS....è NFC che è stato creato con il culo, come si suol dire.
    non+autenticato
  • Ma apple usa la tecnologia NFC?
    Oppure non è gradita per motivi economici?
    non+autenticato
  • Felici di stare 10 anni indietro, da questo punto di vista!
    ruppolo
    33147
  • Però anche Apple si trova nel 2012 non nel 2002 Occhiolino
    non+autenticato
  • - Scritto da: ruppolo
    > Felici di stare 10 anni indietro, da questo punto
    > di
    > vista!

    Impara a dirlo in russo...
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: ruppolo
    > > Felici di stare 10 anni indietro, da questo
    > punto
    > > di
    > > vista!
    >
    > Impara a dirlo in russo...

    Ha creato qualche problema agli utenti, il russo?
    ruppolo
    33147