СОИБ. Анализ. Безопасность NFC

СОИБ. Анализ. Безопасность NFC NFC
На чтение 17 мин Просмотров 6 Опубликовано
Содержание
  1. Что делать, если потерял телефон с nfc
  2. Введение
  3. 2 、 пассивный режим nfc
  4. Безопасность бесконтактных платежей
  5. Для чего оно нужно?
  6. Защита бесконтактных банковских карт
  7. Идентификация личности
  8. Как воруют деньги с карты
  9. Открываем все двери
  10. Плюсы и минусы технологии
  11. Плюсы
  12. Минусы
  13. Прием и передача данных
  14. Смартфон как способ оплаты
  15. Соиб. анализ. безопасность nfc
  16. Сравнение nfc, bluetooth и инфракрасного порта
  17. Чтение и запись меток
  18. Вместо заключения

Что делать, если потерял телефон с nfc

Самый простой способ завладеть вашими деньгами — украсть ваш смартфон с NFC. Иногда для этого даже не нужно ничего делать — забывчивые клиенты теряют карты в такси, магазинах, но вычислить злоумышленников реально, пока они совершают мелкие покупки за ваш счет.

Реально украсть деньги со смартфона с NFC? Это очень сложно. Нужно очень постараться, чтобы не пользоваться отпечатком пальца на устройстве. Даже в случае, если вы отключили эту защиту, мошеннику необходимо будет узнать ваш пароль от смартфона. Стоит отметить, что важно быть осторожным с Google Pay — там доступны покупки без ввода пароля и отпечатка до 1000 рублей.

Другая ситуация обстоит со смарт-часами и фитнес-браслетами: с их помощью можно расплатиться и без какой-либо защиты. В браслетах с NFC тоже лучше ставить пароль на использование устройства, всякое может случиться.

Введение

На первый взгляд может показаться, что многочисленные беспроводные интерфейсы сегодня уже покрывают все возможные популярные задачи и сценарии, так что еще один вариант просто не нужен. Однако если посмотреть на развитие современных технологий, то можно заметить, что все больше внимания уделяется вопросам энергопотребления, особенно если речь идет о мобильных устройствах.

В частности версия 4.0 известного семейства протоколов Bluetooth как раз ориентирована на снижение затрат заряда батареи. Второй момент, который стоит упомянуть, состоит в том, что не для каждой задачи требуется большая дальность работы. Бывает даже наоборот — хочется явно ограничить расстояние между взаимодействующими устройствами.

Кроме очевидного снижения потребления, это также влияет и на безопасность. Да и про объемы передаваемых данных тоже можно сделать аналогичное замечание. Так что идея небыстрого беспроводного интерфейса, работающего на небольших расстояниях и отличающегося низким энергопотреблением вполне имеет право на существование.

За начальную точку отсчета в истории развития NFC можно принять 2004 год, когда Nokia, Philips и Sony объявили о создании форума NFC с целью разработки и стандартизации интерфейса взаимодействия различных устройств, основанного на касании.

Впрочем, первые версии спецификаций были созданы немного ранее. Пожалуй, по современным меркам технологию можно считать очень молодой (если не учитывать историю RFID), однако она уже достаточно часто встречается в реальных продуктах и сервисах. В частности, на прошедшем в конце февраля Mobile World Congress 2021 этой теме были посвящены многие стенды и демонстрации.

Такой знак можно встретить на устройствах с технологией NFC

Формальные характеристики интерфейса следующие: работа на расстоянии нескольких сантиметров, максимальная скорость обмена информацией около 400 Кбит/с, поддерживается полнодуплексный обмен данными, рабочая частота 13,56 МГц, время установления соединения не превышает 0,1 с, режим работы — точка–точка. Видно, что эти параметры кардинально отличают NFC от других популярных беспроводных интерфейсов.

Если говорить про устройства, то кроме активных контроллеров в NFC существуют и пассивные варианты (они обычно называются метками), которые получают питание беспроводным способом от активного контроллера. Одним из примеров являются современные карты для проезда на городском транспорте.

Один из простейших вариантов пассивной NFC-метки

Компактный размер контроллера и его низкое потребление позволяет реализовать NFC даже в таких небольших конструкциях, как SIM-карты или карты памяти microSD. Однако для полноценной работы необходимо использование специальной антенны. В телефонах она обычно находится на обратной стороне крышки батарейного отсека или же встроена в заднюю панель, если аппарат не предполагает съемной батареи.

Антенну NFC часто размещают на задней крышке смартфона

Небольшой радиус действия может негативно сказаться при использовании планшетов — найти нужное место для «прикладывания» может быть не так просто, как хотелось бы. Для решения этой проблемы некоторые производители помечают местонахождение антенны специальным знаком.

С точки зрения безопасности, разработчики не стали реализовывать элементы защиты от перехвата и атаки ретрансляции. Это конечно затрудняет реализацию безопасных решений, поскольку требует от самих приложений защиты на более высоком уровне. Отметим, что на самом деле аналогично ведет себя и такой известный протокол, как TCP/IP.

Пожалуй, самое главное, что нужно сегодня знать о NFC, это то, что сам по себе интерфейс не дает никаких реальных практических сценариев использования или решений. В отличие, например, от Bluetooth, профили которого четко описывают, как передать файл, как подключить гарнитуру или обеспечить сетевой доступ, NFC является только базой, а непосредственные сценарии работы обеспечиваются дополнительным программным обеспечением, которое работает через него.

Интересно, что любые установленные на смартфон или планшет программы могут зарегистрироваться в операционной системе как обработчики событий, связанных с NFC, и тогда при внешнем «вызове» вы увидите стандартное меню «чем вы хотите осуществить это действие?».

Проблемы NFC:  Как проверить и очистить использование данных на android

Форум NFC старается помочь с этой неопределенностью, предлагая стандартизировать протоколы для определенных сценариев (в частности NDEF для хранения коротких сообщений на метках и SNEP (Simple NDEF Exchange Protocol) для обмена информацией между устройствами), однако практическое определение совместимости конкретных устройств обычно затруднено отсутствием детальной информации от производителя и средств диагностики.

2 、 пассивный режим nfc

В пассивном режиме NFC исходному устройству NFC (также известному как основное устройство) требуется блок питания. Ведущее устройство использует источник питания для обеспечения радиочастотного поля и отправляет данные на целевое устройство NFC (также известное как ведомое устройство).

Радиочастотное поле, генерируемое первичным устройством, используется для питания цепи ведомого устройства. Получены данные, отправленные основным устройством. Модуляция нагрузки используется для передачи данных от ведомого устройства обратно к основному устройству с той же скоростью.

Поскольку этот рабочий режим не генерирует РЧ-поле от устройства, а пассивно принимает РЧ-поле, генерируемое ведущим устройством, он называется пассивным режимом. В этом режиме ведущее устройство NFC может обнаруживать бесконтактную карту или целевое устройство NFC и устанавливать с ними соединение.

Безопасность бесконтактных платежей

Бесконтактная оплата достаточно безопасна, несмотря на различные слухи о воровстве денег. Смартфоны с NFC устанавливают соединение с терминалом, а гаджет проходит идентификацию, передавая информацию о счете, откуда списывается сумма. У приложений для оплаты есть уникальный номер устройства — это помогает обеспечить дополнительную защиту.

Кроме того, взлому может помешать расстояние. В интернете есть много историй о том, как у людей в каким-то образом списывали деньги со смартфонов с NFC. Это ложь: единственным способом украсть деньги, находясь на расстоянии, остается взлом самого устройства.

Для чего оно нужно?

Еще в Android версии 4.0 появилась технология Beam, с помощью которой устройства могут обмениваться файлами и папками: сам обмен происходит при помощи Bluetooth или Wi-Fi Direct, однако для идентификации смартфонов используется именно NFC. Это позволяет сократить время, затрачиваемое на подключение устройств.

Кейсов применения NFC великое множество. Среди пользователей метро большой популярностью пользуется возможность считывания информации с билета при помощи смартфона. Установив специальные приложения, можно не только узнавать количество оставшихся поездок и срок годности билета, но и даже пополнять карту «Тройка» без использования терминалов в метрополитене.

Примечательно, что для этих целей можно использовать практически любой смартфон с NFC — от Xiaomi Mi5s Plus до Lenovo X3 Lite.

Защита бесконтактных банковских карт

Все терминалы используют специальный стандарт безопасности EMV (Europay, MasterCard, VISA). Он есть во всех устройствах, которыми можно оплачивать покупки. При оплате смартфоном или смарт-часами в системе создается одноразовый ключ, а терминал отправляет запрос в банк.

Даже если мошенники перехватят одноразовый ключ, то для пользователя не будет никаких последствий. Код запрашивается только для одной транзакции, а после он уже будет недействителен. То же самое происходит, когда вы пытаетесь оплатить покупку, а транзакция не прошла — для новой попытки будет совершенно другой ключ.

Идентификация личности

Наряду с банковской картой, NFC можно использовать в качестве средства подтверждения личности. Так, смартфон может отображать данные электронного паспорта, водительского удостоверения, студенческого билета или пропуска на работу. Это удобно, поскольку смартфон всегда имеется под рукой, а документ можно оставить дома (если закон позволяет использовать его электронные версии).

Телефон будет отображать не только номер документа, но и фотографию владельца или его подпись. А некоторые учебные заведения позволяют не только проходить в различные помещения, но и оплачивать питание или другие услуги при помощи документа в формате NFC.

В будущем планируется развивать это направление в сфере гостиничного и туристического бизнеса. С помощью NFC можно будет открыть дверь своего гостиничного номера, получить посадочный талон и зарегистрировать багаж в аэропорту. 

Как воруют деньги с карты

Помните легенду про то, как в толпе у людей воровали деньги с карты с помощью терминала? Эта версия была популярна в момент появления бесконтактной оплаты. Во-первых, злоумышленнику придется зарегистрировать терминал с расчетным счетом и договором эквайринга.

Это очень затратно и сложно. Во-вторых, мошенник должен знать, где находится ваше устройство или карта. В-третьих, требуемое расстояние ничтожно мало — около 10 см. Думается, вы сразу заметите что-то странное. Еще злоумышленнику понадобится SIM-карта для передачи данных.

Но самое странное в этой ситуации — похитить с вашей карты смогут определенную сумму, для которой не потребуется вводить ПИН-код. По-моему, все это очень похоже на вздор. А еще вы заметите, что произошло списание благодаря уведомлению, успев обратиться в банк. В общем, если это и возможно, то надо очень сильно постараться, чтобы не заметить человека с терминалом.

Как оказалось, украсть деньги с помощью NFC не так уж просто. Для этого есть определенные степени защиты, а платежные системы в смартфонах просто не позволят воспользоваться вашими картами без подтверждения личности. Даже если вашу карту или смартфон украдут, вы быстро это заметите, успев заблокировать их.

Проблемы NFC:  Бюджетный класс: обзор и тестирование смартфона ThL W8s

Открываем все двери

Кто-то реализовывает подобное и в домашних условиях, но в основном использование NFC для идентификации и контроля пользователя характерно для предприятий и организаций. Турникеты и замки настраиваются таким образом, что при помощи метки, которая является пропуском, решают, стоит давать ее обладателю разрешение на вход или нет.

С NFC в смартфоне действительно открываются все двери — если не в буквальном смысле, то в переносном точно. Фактически пользователь получает универсальный инструмент, который, несмотря на скоростные ограничения, находит себе применение в самых разных ситуациях.

Плюсы и минусы технологии

*{padding:0;margin:0;overflow:hidden}html,body{height:100%}img,svg{position:absolute;width:100%;top:0;bottom:0;margin:auto}svg{left:calc(50% — 34px)}СОИБ. Анализ. Безопасность NFC» frameborder=»0″ allow=»accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture» allowfullscreen>

Как мы убедились ранее, у технологии NFC имеется множество достоинств, но и недостатки также присутствуют.

Плюсы

Минусы

  • Экономия времени и места — кошелек, данные и ключи находятся в одном смартфоне, который всегда под рукой
  • Маленький радиус действия
  • Практически моментальное сопряжение устройств
  • Низкая скорость обмена данными
  • Высокая безопасность платежей
  • При краже устройства можно лишиться и средств в мобильном банке
  • Огромное количество сценариев использования меток
 
  • Низкое энергопотребление, а в случаях с метками — и вовсе отсутствие собственного питания
 
 

Технология NFC — яркий пример того, как современные идеи могут облегчить каждодневную рутину. Больше не нужно беспокоиться о том, что вы забыли дома кошелек с деньгами, пропуск, бонусную карту или проездной билет — они всегда под рукой и находятся в вашем смартфоне. А задав нужные команды, с помощью NFC можно автоматизировать бытовые и рабочие процессы.

Еще каких-то пару лет назад данная технология была уделом лишь флагманских смартфонов. Но количество устройств с поддержкой NFC неуклонно растет, и не за горами времена, когда на рынке не останется устройств без этой технологии, а мы уже не сможем представить себе жизнь без NFC.

Прием и передача данных

Следующий очевидный вариант использования NFC — передача данных. Естественно не крупных файлов, а, например, ссылок на веб-страницы, координат и маршрутов на карте, контактов и ссылок на приложения. Впрочем, передача фотографий или видео не запрещена, просто она займет слишком много времени.

На некоторых рекламных плакатах или витринах в магазинах можно заметить логотип NFC. Если поднести к ним смартфон, на него будут переданы ссылки на сайт с описанием товара, скидочные купоны, рекламные предложения и другая информация. 

Как правило, модуль NFC находится в задней части устройств и достаточно прислонить смартфоны друг к другу или к метке NFC, после чего запускается обмен данных в активном режиме. Плюс — высокая скорость соединения двух устройств, однако скорость передачи данных невысока, поэтому NFC не получил широкого распространения в этой роли.

Смартфон как способ оплаты

NFC совместима со стандартом ISO 14443 и объединяет множество бесконтактных карт, в том числе банковские карты, поддерживающее MasterCard PayPass или VISA PayWave. Пластиковая карта содержит микропроцессор с ОС и платежным приложением для взаимодействия с данными конкретного клиента.

С появлением бесконтактных карт платежным инструментом по сути может выступать не обязательно карта, а смартфон, часы, брелок и так далее — важна не форма, а наличие необходимого набора функций. Ведь в смартфонах с поддержкой NFC так же, как и в пластиковых картах, есть микропроцессор.

Чтобы управлять бесконтактными приложениями удаленно, производители смартфонов и поставщики услуг подключаются к TSM — службе, которая обеспечивает доступ к защищенным данным на терминалах с поддержкой NFC. Она удаленно управляет чипами Secure Element в смартфонах, сам смартфон при этом является своего рода модемом, работающим через безопасный канал связи.

При совершении покупок свыше 1000 рублей вас могут попросить ввести PIN-код или поставить подпись на чеке — здесь уже все зависит от банка.

Соиб. анализ. безопасность nfc

СОИБ. Анализ. Безопасность NFC

NFC

технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно —  использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное платежное средство или средство идентификации, которые не нужно никуда вставлять, набирать пароли и тому подобное: поднес к считывателю, получил что нужно и идешь дальше: на крупных мероприятиях, в транспорте, отеле, на горнолыжном курорте, в банкоматах, машинах и т.п.

Near field communication,

NFC

(«коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 15 сантиметров. В отличие от такой технологии как Bluetooth позволяет быстрее обмениваться маленькими объемами информации и поддерживает пассивные устройства (метки, карты), дешевле в реализации – что существенно увеличивает область применения.

 
 

·        

Контроль доступа в помещения, на территорию (крупные объекты – заводы, гостиницы, отели, аквапарки, публичные мероприятия – концерты, выставки, саммиты в том числе мероприятия по ИБ, горнолыжные курорты, олимпиады и другие спортивные мероприятия)

Проблемы NFC:  Обзор смартфона Oppo Reno5
·         Псевдобезопасность NFC-сервисов

,

Лев Денисов, Fast Track

·         Пентест NFC —вот что я люблю ,    Маттео Беккаро,  Технический доклад

Если кратко: 

С точки зрения ИБ основные слабости и недостатки NFCсвязаны с тем что стек протоколов NFCне предусматривает криптографии при передаче. Стандарты хранения данных в метках и картах, а также их эмуляции – не предусматривают криптографической защиты при хранении. В реализациях многих карт, смарт-карт и их эмуляции применяются слабые криптографические алгоритмы. 

·         ReplyAttack(перехват информации и многократное её повторение или применение – позволяет получать услуги, товары, получать доступ от имени другого лица) 

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Сравнение nfc, bluetooth и инфракрасного порта

ТоварыNFCБлютузИнфракрасный порт
Тип сетиPeer-на-PeerТочка-многоточкаPeer-на-Peer
Использовать расстояние≤0.1m≤10m≤1m
Скорость передачи106, 212, 424 кбит / с, до 868 кбит / с2.1 Mbps~ 1.0 Мбит / с
Время отклика<0.1 с6s0.5s
БезопасностьВысокая безопасность (аппаратная реализация)Высокая безопасность (программная реализация)Нет функций безопасности (кроме использования IRFM)
Режим связиАктивно-активный / пассивныйАктивный-АктивныйАктивный-Активный
ЦенаНизкийСреднийНизкий

Чтение и запись меток

Описанный Android Beam использует возможность передачи и обработки коротких информационных сообщений. Однако в реальности их можно не только передавать с телефона, но и считывать с пассивных меток. В некотором смысле эта технология аналогична известным QR-кодам, которые считываются фотокамерой телефона.

При этом полезная информация (например, ссылка на страницу сайта) занимает буквально несколько десятков байт. Метки могут использоваться компаниями, например, для продвижения своих товаров или услуг. Учитывая компактный размер пассивной метки (точнее, сравнимую с листом бумаги толщину — из-за антенны площадь будет все-таки значительной, не менее пятирублевой монеты), она может быть размещена практически в любом месте: на коробке с товаром, в журнале, на информационной стойке и других местах.

Пассивные метки NFC могут быть изготовлены в виде брелков

Если же говорить про собственноручное изготовление меток, то и это вполне осуществимый сценарий. Для этого нужно приобрести чистые заготовки и с использованием специальной программы для телефона записать на них требуемую информацию. Для примера мы купили несколько разных вариантов: наклейку минимальной толщины, защищенный кружочек из пластика и брелки.

Все они имели совсем небольшой объем памяти — всего 144 байта (на рынке присутствуют варианты и на 4 КБ). Число циклов перезаписи указано не было, но для большинства сценариев применения этот параметр не критичен. Для работы с метками можно рекомендовать программы NXP Semiconductors — TagInfo и TagWriter.

Чтение меток в NXP Semiconductors TagInfo

Первая позволит вам считать данные с метки и расшифровать информацию по стандарту NDEF, а вторая поможет создать собственные метки. При этом поддерживаются несколько подвариантов NDEF: контакт, ссылка, текст, SMS, почтовое сообщение, телефонный номер, соединение по Bluetooth, географическое расположение, ссылка на локальный файл, запуск приложения, URI.

Обратите внимание, что при создании записи нужно учитывать объем хранимых данных. Например, фотография контакта может занимать несколько килобайт, сообщения или текст также легко могут выйти за 144 байта. Кстати, программа NFC TagInfo компании NFC Research Lab со специальным плагином может прочитать и показать вам цветную фотографию из биометрического паспорта.

Запись меток в NXP Semiconductors TagWriter

Отметим, что автоматическая обработка считанных меток зависит от контента. В частности, иногда требуются дополнительные подтверждение для осуществления самого действия. Например, в случае SMS открывается заполненная форма сообщения, но собственно отправку должен подтвердить пользователь.

А вот записанная web-ссылка может сразу открываться в браузере. Любая автоматизация связана с потерей контроля, так что и описанные возможности стоит применять осторожно, поскольку простой заменой или перепрограммированием меток злоумышленники могут перенаправить вас на подставной сайт вместо оригинального. Штатных настроек ОС для ограничения подобного автозапуска мы не обнаружили (если только не отключить сам NFC).

Еще один важный момент при использовании меток в публичных местах — защита от перезаписи. При записи метки вы можете поставить флаг защиты, который будет блокировать все попытки изменения информации, но снять его будет уже невозможно. Так что метка будет в дальнейшем использоваться в режиме «только для чтения». Для домашнего применения это в большинстве случаев не очень критично.

Упомянем еще несколько программ для записи меток:

Вместо заключения


Пожалуй, самое приятное в NFC — то, что эта технология доступна широкому кругу пользователей. Все больше производителей не оставляют свои смартфоны без NFC, поэтому она есть как в устройствах типа

(за $321.99 по коду Mi5SGBS до 31.12) и

, так и во флагманах вроде

. Радует также разнообразие

Что с Apple и ее iPhone 7, спросите вы? Увы, но компания-производитель ограничивает работу чипа NFC в своем смартфоне, и его можно использовать только для платежной системы Apple Pay. Осенью, впрочем, она запустилась в России, так что хоть какой-то плюс.

А как вы используете NFC в повседневной жизни? Поделитесь с нами своим опытом в комментариях.

Gearbest NFC смартфоны
Оцените статью
NFC в смартфонах
© 2025 NFC в смартфонах