Lue uutinen mobiilisivustolla

Meego ja Android avoimia nfc-hyökkäykselle

Nokia N9 suorittaa nfc-sirun lähettämisä komentoja.
Kuva: Nokia

27.7.2012 10:12 Nokian N9-puhelin ja Android-älypuhelimet ovat avoimia nfc-hyökkäyksille, sanoi tietoturva-asiantuntija Charlie Miller BlackHat-konferensissa Las Vegasissa.

Near Field Communication eli nfc -siruja voidaan käyttää Android- ja Meego-älypuhelimiin kohdistuvissa hyökkäyksillä. Hyökkäävän nfc-sirun lähituntumaan, muutaman sentin etäisyydelle tuleva lähipuhelin voidaan lähettää saastuneelle verkkosivulle ilman, että käyttäjä on tietoinen siitä.

Asiantuntija Charlie Millerin mukaan hyökkäysaukko on olemassa, koska nämä puhelimet ottavat vastaan ja suorittavat nfc-komentoja ilman käyttäjän nimenomaista suostumusta.

BlackHat-tietoturvakonferenssissa Miller demonstroi kuinka hän pystyy ottamaan puhelimen kokonaan haltuunsa käyttäjän tietämättä sitä. Asiasta kertoo Cnet News.com.

Miller osoitti konferenssissa, kuinka laitteeseen voidaan ladata selaimen aukkoa hyödyntävä haittaohjelma, jonka avulla hyökkääjä voi lukea evästeitä ja seurata käyttäjän nettiselailua ja ottaa koko puhelin haltuun.

Jos käyttäjä ei ole muuttanut N9-puhelimen oletusasetuksia, sen Meego-käyttöjärjestelmä sallii toisen laitteen suorittaa bluetooth-pariutuminen vaikka bluetooth ei ole päällä. Tämä ominaisuus on tarkoitettu nfc-laitteiden, kuten kaiuttimen helppoon käyttöön. Millerin mukaan toiminne avaa puhelimen tavallisille bluetooth-hyökkäyksille. Silloin hyökkääjä voi käyttää puhelinta soittamiseen, tekstiviestin lähettämiseen ja tiedostojen lataamiseen.

Miller sanoi N9-puhelimen olevan avoin myös nfc:n kautta lähetettävälle word-haittadokumentille, joka käyttää hyväkseen dokumentin esittämismekanismissa oleva bugia.

Nfc-hyökkäys ei mahdollinen silloin, kun puhelimen näyttö ei ole aktiivinen tai kun puhelin on lukittu, sillä silloin nfc-siru ei ole päällä.

Miller sanoi lähettäneensä tiedot mahdollisista hyökkäyksistä Google ja Nokialle. Hän huomautti myös, että toistaiseksi iPhone ei tue nfc-tiedonsiirtoa, mutta Applen älypuhelimen huhutaan saavan tuon ominaisuuden tulevaisuudessa.

Digitoday
toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (30)

Sivut: 1 2 3

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

"Asiantuntija Charlie Millerin mukaan hyökkäysaukko on olemassa, koska nämä puhelimet ottavat vastaan ja suorittavat nfc-komentoja ilman käyttäjän nimenomaista suostumusta."

Ainakin N9:ssä NFC on käyttäjän laitetteva asetuksista se päälle. Lisäksi siellä on vielä erikseen valinta, jolla voi pakottaa yhteydenmuodostuksen vain niin halutessaan: "Vahvista jako ja yhteyden muodostus".

Nimetön 27.7.2012 10:17

Anonyymi

 0  0

Asiaton viesti Lainaa

Ja windos Phone ei varmaankaan ole altis tälle?

MWHAHAHAHHAHAHAH 27.7.2012 10:20

Anonyymi

 0  0

Asiaton viesti Lainaa

Lisäys: Koskee nyt vain ICS+JB-versioita, joihon päivitys tämän osalta tulee pian..

Miller?s tricks require phones? screens to be active, and in the case of the Nokia phones or Android phones running Ice Cream Sandwich or newer versions of the operating system, unlocked as well.

Forbesin artikkelissa ilmeisesti siis väärin tämä kohta:

In the Nokia case, users can fix the problem by turning off Bluetooth pairing through NFC, but phones are shipped with the vulnerable capabilities turned on by default.

asdf 27.7.2012 10:28

Anonyymi

 0  0

Asiaton viesti Lainaa

Lisää Nokia-uutisia, jes!

Nimetön 27.7.2012 10:28

Anonyymi

 0  0

Asiaton viesti Lainaa

w-trolli: sitä ei testattu lainkaan, koska niitä ei ole käytössä, saati että 7.x tukisi..

oiejf 27.7.2012 10:33

Anonyymi

 0  0

Asiaton viesti Lainaa

"Nfc-hyökkäys ei mahdollinen silloin, kun puhelimen näyttö ei ole aktiivinen tai kun puhelin on lukittu, sillä silloin nfc-siru ei ole päällä. "

Normaalistihan näyttö ei ole aktiivinen eikä myöskään tuo nfc. Eli "hyökkäys" onnistuu vain kun puhelin on aktiivisesti käytössä, aika hidasälyinen käyttäjä jos ei huomaa kun joku tunkee omaa luuriaan senttien päähän kun käyttää omaa puhelintaan. Tuo nfc kun ei toimi kuin muutaman senttin etäisyydellä.

Suurikin uhka ? 27.7.2012 10:41

Anonyymi

 0  0

Asiaton viesti Lainaa

nfc oletuksena päällä? no,ei ole kyllä oletukena päällä samsungin laitteissakaan. Pitää ihan erikseen käydä tökkimässä päälle. Jutulla olisi jo jotain uutisarvoa kun nfc:tä edes käytettäisiin siinä määrin kun esim. bluetoothia.

no onpas taas suomen 27.7.2012 10:55

Anonyymi

 0  0

Asiaton viesti Lainaa

Joo, tässä taas yksi asiantuntija kaivaa täysin teoreettisia mahdollisuuksia puhelimen haltuunototksi. Taitaa jäbällä olla duunit loppu ja yrittää päästä ggoglen/jollan palkkalistoille.

Milleri 27.7.2012 11:00

Anonyymi

 0  0

Asiaton viesti Lainaa

iOs bugaa tykimmin

Ei sinun tarvitse uskoa tuota uutista. Ei niitä vikoja ole pyhässä meegossa (vai oliko se harmattan vai mikä linee).

Mites, ei kuitenkaan mikään salaliitto ole kyseessä?

ds 27.7.2012 11:16

Anonyymi

 0  0

Asiaton viesti Lainaa

Ja windos Phone ei varmaankaan ole altis tälle?

Vaikea olla altis jos ei tue koko hommaa.

Nimetön 27.7.2012 12:08

Sivut: 1 2 3

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on yksitoista ynnä kahdeksantoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.