Demonstração: Tecnologia NFC usada para instalar malware em aparelhos com Android e MeeGo sem intervenção do usuário
A tecnologia NFC, que o Google pretende usar em aplicativos de transações financeiras móveis baseadas na proximidade entre dispositivos, vem ativada por default em uma série de aparelhos Android. Em um evento em Las Vegas um pesquisador demonstrou ser capaz de usar esta implementação em aparelhos Android para, a partir da proximidade entre o aparelho e um dispositivo NFC, rodar o navegador para baixar e executar um exploit que compromete a segurança do Android, tudo isso sem qualquer interação com o usuário.
O mesmo método (mas aí explorando por meio do NFC falhas dos aplicativos visualizadores de arquivo, e não o navegador) foi demonstrado em um aparelho rodando o MeeGo. (via h-online.com – “Android and Nokia smartphones hijacked via NFC – The H Open: News and Features”)
@brlinuxblog
Feed RSS
Nada como uma convenção de Black Hats para nos alertar sobre falhas de segurança e como fechá-las. Espero que essas conferências nos ajudem a criarmos softwares cada vez mais seguros.
Enquanto uma plataforma é ameaçada por adolescentes, outras são desafiadas por competentes especialistas de segurança. Não é um mal sinal.
Mas eu ainda prefiro ter um dispositivo com NFC do que um dispositivo que queria ter, não consegue e fala mal de quem tem.
“Estão verdes”
Por padrão, o NFC (pelo menos no MeeGo) vem desabilitado e você habilita quando quer usar. Claro que existe a opção de manter sempre ligado, como no bt, mas além de tudo, consome muito mais bateria.
O mundo Android anda muito perigoso.
iOS, sempre.
@Diogo, o NFC tb vem desabilitado no Android. Vc liga, faz a operação e desliga, assim como vc faz quando usa Bluetooth.
Isso porque são redes caras em termos de energia e também porque não são redes seguras: o bluetooth tb tem vulnerabilidades (no protocolo em si, não em suas implementações).
Bom, no iOS o invasor tem que usar outro iPhone, pq ele é tão provinciano que só fala com si próprio… :)
Isto deve servir para google ver que o Android precisa de atualizações diárias como Ubuntu, RedHat, Debian, … isto que faz o linux seguro
Se linux fosse seguro “por padrão”, termos como escalada de privilegios não faria parte do dicionário do linux, e programas como “SeLinux” e “AppArmor” nem precisariam existir.
“Segurança é um processo, não um produto”. E segurança apenas baseada na pifia ilusão de “um sistema de arquivos que possui permissoes”, é…. engraçado.
Alias, se usar linux fosse sinonimo de “inteligencia”, “nerdice”, “filosofia” e todo o blablabla que eu escuto, nenhum administrador ou usuário de linux desabilitaria o SeLinux ou AppArmor “por padrão”.
No PR1.3 do n9 não possui essa falha pois pode escolher para pedir permissão.
Vá em aparelho NFC e vc verá uma opção nova.(talvez essa opção esteja desde a 1.2 porém não prestei atenção)Ou seja, como sempre a vulnerabilidade está no usuário mais uma vez. Sem contar que se vc transferir um aplicativo, aparecerá um íncone indicando o que é em transferencias! Lí também na matéria citada(a em inglês) dizendo que outra vulnerabilidade seria exibir fotos e arquivos do office automaticamente ou seja isso aí já foi para o lado subjetivo, lembro ainda q o objetivo do NFC é esse mesmo, toque um aparelho no outro e visualize (quase)instantaneamente.