- Что делать, если потерял телефон с nfc
- Что делать в случае двойной транзакции?
- Что внутри тега?
- Nfc taginfo
- Автомобильная автоматизация
- Безопасность бесконтактных платежей
- Визитка
- Включение компа
- Вместо введения
- Поддержка в смартфонах
- Домашняя автоматизация
- Есть ли вероятность взлома?
- Защита бесконтактных банковских карт
- Как действовать, если телефон или карта потеряны?
- Как работает nfc
- Криптография
- Мораль
- Мы пойдем другим путем
- Несколько слов о разработке
- Пишем данные
- Поддержка в смартфонах
- Радиус действия
- Разблокировка смартфона
- Результаты исследований по вопросам безопасности
- Сумма покупки
- Сценарии использования
- Угрозы при использовании nfc-платежей
- Эксперты рассказали о новом мобильном вирусе для банковских android-приложений
- Выводы
Что делать, если потерял телефон с nfc
Самый простой способ завладеть вашими деньгами — украсть ваш смартфон с NFC. Иногда для этого даже не нужно ничего делать — забывчивые клиенты теряют карты в такси, магазинах, но вычислить злоумышленников реально, пока они совершают мелкие покупки за ваш счет.
Реально украсть деньги со смартфона с NFC? Это очень сложно. Нужно очень постараться, чтобы не пользоваться отпечатком пальца на устройстве. Даже в случае, если вы отключили эту защиту, мошеннику необходимо будет узнать ваш пароль от смартфона. Стоит отметить, что важно быть осторожным с Google Pay — там доступны покупки без ввода пароля и отпечатка до 1000 рублей.
Другая ситуация обстоит со смарт-часами и фитнес-браслетами: с их помощью можно расплатиться и без какой-либо защиты. В браслетах с NFC тоже лучше ставить пароль на использование устройства, всякое может случиться.
Что делать в случае двойной транзакции?
Зачастую возникают ситуации, связанные с двойным списанием денежных средств или двойной транзакцией. Этому имеются свои причины:
- банковская система допускает сбои;
- терминал, принимающий платежи, находится в неисправном состоянии.
В случае вины банка, деньги возвращаются на ваш счет. Неисправный терминал является поводом для того, чтобы продавец отменил транзакцию и оформил возврат платежа на карточку.
В каждом из приведенных случаев вины потребителя нет.
Что внутри тега?
С технической точки зрения NFC-тег — это микрокомпьютер наподобие тех, что находятся внутри SIM и банковских карт. Здесь есть свой процессор, оперативная и постоянная память, но нет традиционного источника питания. Электрический ток он получает посредством электромагнитной индукции, которая возникает между антеннами считывателя и метки, так же как это происходит в беспроводных зарядных устройствах и пассивных радиоприемниках.
Антенна занимает около 99% площади метки и передает данные на частоте 13,56 МГц со скоростью 106, 212, или 424 Кбит/с. Стандарты NFC определяют несколько протоколов передачи данных, в том числе несколько реализаций протокола обмена данными (они обозначаются буквами A, B и так далее), которые могут быть дополнены производителем самой метки.
Безопасность данных обеспечивается несколькими путями:
- Малая дальность действия. Десять сантиметров — очень приватная зона.
- Защита от клонирования с помощью уникального серийного номера.
- Возможность защиты от перезаписи и защиты данных паролем.
- Опциональное шифрование данных в памяти и при передаче.
Ведущий производитель NFC-тегов — компания NXP Semiconductors. Они производят теги семейства Mifare, которые стали настолько популярны, что совместимость с ними обеспечивают не только другие производители тегов, но и производители NFC-чипов для смартфонов (на уровне эмуляции тегов).
Nfc taginfo
Для начала разберемся, что за теги нам достались. Китайцы обычно никаких подробностей на этот счет не сообщают, а уж о картах метро я вообще молчу. Запускаем NFC TagInfo и подносим смартфон к тегу. Далее тапаем по пункту Tag Information и смотрим (скриншот «Читаем NFC-тег»), что мы имеем:
- UID — уникальный идентификатор тега;
- RF Technology — стандарт, поддерживаемый тегом. В данном случае это ISO/IEC 14443 Type A, то есть обычный RFID-тег c поддержкой первой версии протокола обмена данными (Type A);
- Tag Type — тип (или, лучше сказать, «модель») тега. В данном случае NTAG203 — это Mifare Ultralight C, самый дешевый на данный момент тег. Буква C означает поддержку криптозащиты данных. Еще бывает Topaz 512, который вмещает 450 байт информации, и Mifare Classic 1K (716 байт), используемый в тегах TecTile и нередко в картах метро;
- Manufacturer — производитель тега. NXP Semiconductors — 90% всех NFC-тегов делают они (семейство Mifare).
![Читаем NFC-тег](https://xakep.ru/wp-content/uploads/2021/01/taginfo-540x900.png)
Автомобильная автоматизация
NFC-теги будут очень полезны тем, кто использует смартфон в качестве автомобильного навигатора. Достаточно наклеить тег на держатель смартфона и записать в него инструкцию для запуска навигатора — и вуаля. Все стало намного проще. Тем не менее я бы рекомендовал пойти несколько другим путем и усложнить настройку, добавив к ней автоматическое включение Bluetooth (для гарнитуры), GPS и отключение Wi-Fi.
Чтобы сделать это, нам вновь понадобится Trigger. Запускаем, добавляем задание, в качестве триггера выбираем NFC. Добавляем действие «Bluetooth -> Bluetooth Вкл/Выкл -> Включить». Добавляем еще одно действие: «Беспроводные и локальные сети ->
GPS Вкл/Выкл -> Включить». И еще одно: «Беспроводные и локальные сети -> WiFi Вкл/Выкл -> Выключить». Наконец, добавляем действие «Приложение и ярлыки -> Открыть приложение -> выбираем приложение». Пропускаем экран добавления переключателей, на следующем экране подносим смартфон к тегу.
Теперь после установки смартфона в держатель мы получим полностью настроенный для использования в автомобиле смартфон.
Безопасность бесконтактных платежей
Бесконтактная оплата достаточно безопасна, несмотря на различные слухи о воровстве денег. Смартфоны с NFC устанавливают соединение с терминалом, а гаджет проходит идентификацию, передавая информацию о счете, откуда списывается сумма. У приложений для оплаты есть уникальный номер устройства — это помогает обеспечить дополнительную защиту.
Кроме того, взлому может помешать расстояние. В интернете есть много историй о том, как у людей в каким-то образом списывали деньги со смартфонов с NFC. Это ложь: единственным способом украсть деньги, находясь на расстоянии, остается взлом самого устройства.
Визитка
NFC-теги можно использовать в комбинации с визитками. На рынке есть несколько компаний, которые занимаются их выпуском, однако их ценники таковы, что проще самостоятельно наклеить теги на обыкновенные визитки, и в кармане еще останется куча денег. В тег можно записать любую информацию, включая контактные данные (TagWriter поддерживает такой формат), адрес веб-сайта или даже географические координаты своего офиса (смартфон автоматически откроет карты для показа положения). А самое главное — визитку совсем не обязательно отдавать человеку, достаточно, чтобы он ее отсканировал.
Включение компа
Это своего рода развитие идеи тегов на системнике и ноутбуке. Идея в том, чтобы создать настройку, которая позволит включать комп c помощью NFC-тега без учета того, где находится сам тег. Его, например, можно приклеить в прихожей, так что включить машину можно будет еще до того, как ты снимешь обувь.
Вместо введения
NFC расшифровывается как Near Field Communication или «ближняя бесконтактная связь», если по-русски. По своей сути это небольшой чип, который может быть встроен в смартфон с целью передачи данных на очень короткие расстояния с весьма мизерной скоростью.
NFC очень близка к технологии RFID, которая уже давным-давно используется для пометки продуктов в супермаркетах, но базируется на ее более позднем стандарте ISO/IEC 14443 (смарт-карты) и спроектирована для использования в переносной электронике (читай: смартфонах) и выполнения безопасных транзакций (читай: оплаты покупок).
Как и в случае со стандартом ISO/IEC 14443, дальность действия NFC всего 5–10 см, но разница в том, что чип NFC способен выполнять функцию тега и считывателя одновременно. Другими словами, оснащенный NFC смартфон может быть как смарт-картой (картой метро, например), которую достаточно поднести к считывателю, чтобы расплатиться, так и самим считывателем, что можно использовать, например, для перевода средств между картами-смартфонами и превращения реальных карт с поддержкой стандарта ISO/IEC 14443 в виртуальные.
Но это только «одно из» и наиболее очевидное применение NFC. Благодаря тому, что чип NFC способен передавать данные в обе стороны и не требует аутентификации устройств, его можно использовать как простую и более удобную замену Bluetooth. С помощью NFC, например, можно делиться ссылками, паролями, контактными и другими данными между смартфонами, просто поднеся их друг к другу.
Появившаяся в Android 4.0 технология Beam еще больше расширяет границы применения NFC, позволяя быстро переносить между устройствами целые файлы и папки, что достигается с помощью предварительной аутентификации Bluetooth-устройств по NFC и последующей установки Bluetooth-соединения и отправки файлов.
Как и в предыдущем случае, все, что требуется для передачи, — просто поднести телефоны друг к другу. В прошивках Samsung эта функция носит имя S-Beam и позволяет использовать в качестве «транспортного канала» не только синезуб, но и Wi-Fi (один из смартфонов превращается в точку доступа).
Еще одна возможность — использование пассивных NFC-тегов. Такие теги в виде небольших наклеек можно приобрести за полдоллара за штуку и перепрограммировать с помощью смартфона. Каждый из них может вмещать в себя 137 байт информации (в случае самого распространенного и дешевого тега Mifire Ultralight C), для считывания которой опять же достаточно просто поднести смартфон.
В тег можно записать пароль от домашнего Wi-Fi и приклеить на роутер. Или кодовое слово, на которое будет реагировать смартфон. Можно организовать автоматический запуск навигатора при установке смартфона в держатель в автомобиле или включение бесшумного и энергосберегающего режимов, когда телефон находится на прикроватной тумбочке. Небольшой список покупок в 137 байт тоже вполне вместится.
В этой статье мы поговорим обо всех возможных применениях NFC на практике, но так как в нашей стране оплата покупок с его помощью внедрена примерно нигде, то речь пойдет преимущественно об автоматизации на основе меток.
Поддержка в смартфонах
Первым телефоном с интегрированной поддержкой NFC был Nokia 6131, выпущенный еще в 2006 году. Тогда встроенный NFC-чип был всего лишь игрушкой для демонстрации возможностей созданной два года назад технологии. Смартфон был оснащен софтом для считывания NFC-меток, но ввиду их тогдашней дороговизны и почти нулевой популярности технологии ни на какое серьезное применение данная особенность смартфона не претендовала.
После некоторого затишья популяризацией NFC занялась компания Google, выпустившая в 2021 году смартфон Samsung Nexus S и приложение Google Wallet, которое позволяло расплачиваться виртуальными кредитками, используя NFC. На следующий год Google стала ведущим участником NFC Forum и представила Android 4.0 и основанный на нем смартфон Samsung Galaxy Nexus, который теперь мог похвастаться наличием той самой функции Beam. Позже появился Nexus 4, и наконец начали подтягиваться другие производители.
Сегодня NFC оснащаются почти все выпускаемые смартфоны. Соответствующий модуль есть даже в сверхбюджетных чипах Mediatek, так что большая часть новых китайских смартфонов стоимостью 5000 рублей тоже им оснащены. В любом случае присутствие чипа NFC легко проверить по наличию пункта «Беспроводные сети -> NFC» в настройках.
Домашняя автоматизация
Наиболее простой и очевидный способ использования тегов — это просто расклеить их по дому с целью получить своего рода систему автоматизации. Здесь существует множество различных вариантов. Приведу наиболее интересные и полезные.
- Пароль от домашнего Wi-Fi. Клеим тег на роутер и записываем в него пароль с помощью приложения InstaWifi. Пригодится не только тем, кто часто принимает гостей, но и любителям экспериментов с прошивками.
- Запуск автосинхронизации или приложения для обмена данными с ПК. Тег можно приклеить на ноутбук или системник и прописать в него запуск приложения для синхронизации данных (AirDroid, WiFi ADB и другие).
- Включение точки доступа. Опять же клеим тег на ноутбук, далее устанавливаем приложение Trigger. В нем добавляем новое задание, в качестве триггера выбираем NFC, пропускаем выбор ограничений, в качестве действия выбираем «Беспроводные и локальные сети -> Wifi-зона», пропускаем следующий экран (добавление переключателя) и на последнем экране подносим к NFC-тегу.
- Включение режима полета на ночь. Клеим метку куда-нибудь ближе к кровати. Запускаем Trigger, новое задание -> триггер: NFC -> действие: «Экспериментальные -> Режим в самолете». Как вариант, вместо включения режима самолета можно настроить отключение передачи данных и Wi-Fi, добавив соответствующие действия в задание.
Есть ли вероятность взлома?
Итак, безопасно ли платить мобильным телефоном с чипом NFC? Оказывается, что за время существования платежной технологии неоднократно предпринимались попытки ее взлома. Фиксировались случаи намерений дискредитации карточек, предназначенных для оплаты проезда в общественном транспорте, как в России, так и за границей.
Официальных подтверждений попыткам взлома системы не зафиксировано. Терминал оснащен надежной защитной системой – выполнение платежей возможно после процедуры регистрации, заключения договорных отношений с банком (в документах указывают паспортные данные продавца, сведения о торговом предприятии). Каждая транзакция отслеживается без проблем, а в случае возникновения острой необходимости – отменяется.
Защита бесконтактных банковских карт
Все терминалы используют специальный стандарт безопасности EMV (Europay, MasterCard, VISA). Он есть во всех устройствах, которыми можно оплачивать покупки. При оплате смартфоном или смарт-часами в системе создается одноразовый ключ, а терминал отправляет запрос в банк.
Даже если мошенники перехватят одноразовый ключ, то для пользователя не будет никаких последствий. Код запрашивается только для одной транзакции, а после он уже будет недействителен. То же самое происходит, когда вы пытаетесь оплатить покупку, а транзакция не прошла — для новой попытки будет совершенно другой ключ.
Как действовать, если телефон или карта потеряны?
Безопасность оплаты телефоном с NFC предусматривает и такой вариант: представьте, что смартфон украден либо потерян. Вы легко заблокируете устройство дистанционно либо сбросите настройки, удалив банковскую информацию.
Как работает nfc
Передача данных между устройствами происходит, когда пользователи активируют функцию бесконтактного поля. Чтобы все сработало, устройства должны быть как можно ближе друг к другу: вспомните, насколько небольшое расстояние должно быть между смартфоном и терминалом при оплате покупки.
Криптография
Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.
Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.
Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.
Есть, правда, одна деталь. В стандартной реализации защита чиповых карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.
«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером.
Мораль
Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).
Еще больше зависит от добросовестности настроек конкретных финансовых учреждений и магазинов. Причем последние в погоне за высокой скоростью покупок и низким процентом «брошенных корзин» нередко очень сильно пренебрегают безопасностью платежа.
Посему стандартные советы по обеспечению безопасности сохраняют свою актуальность и в этом случае. Берегите карту и PIN-код от чужих глаз, не «светите» ее где попало, смотрите, что устанавливаете на смартфон, обзаведитесь антивирусом, включите SMS-уведомления об операциях, а при первом подозрении обращайтесь в банк.
Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек. Уж физику точно не обманешь.
Мы пойдем другим путем
Так что же, получается, что мошенническая NFC-транзакция неизбежно будет задержана банком или платежной системой? Скорее всего, да, если в этой схеме не задействованы недобросовестные работники на стороне банка.
Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.
Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система).
До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.
Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.
Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.
К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.
Несколько слов о разработке
NFC – это технология беспроводной связи, представленная в мобильном телефоне специальным микрочипом. Он напоминает Блютуз и предназначается для обмена информацией между устройствами на ограниченном расстоянии, не превышающем десяти сантиметров.
Чтобы быстро оплатить товар или услугу, следует:
- загрузить на мобильный телефон, работающий на операционной системе Андроид, мобильное приложение Гугл Пей;
- привязать к нему реквизиты банковской карточки;
- определить в качестве необходимой меры безопасности код и отпечаток собственного пальца;
- активировать чип НФС в телефонных настройках перед процедурой оплаты;
- приблизить телефон к сканирующему элементу платежного терминала, прикоснуться пальцем к экрану гаджета.
Необходимая сумма денег автоматически спишется с банковского счета. Процедура удобная, но до какой степени она безопасна?
Пишем данные
Для записи данных будем использовать NFC TagWriter. Пользоваться приложением довольно просто. Запускаем, тапаем по пункту Create, write and store, выбираем New, далее выбираем тип записываемых данных. Наиболее полезные типы: контакт, простой текст, телефонный номер, данные для Bluetooth-соединения, URI и приложение. В списке есть даже закладка веб-браузера и email-сообщение, но для чего они нужны, не совсем понятно.
![Главный экран NFC TagWriter](https://xakep.ru/wp-content/uploads/2021/01/tagwriter-540x900.png)
Далее заполняем необходимые поля (например, адрес веб-сайта в случае с URI), нажимаем Next и попадаем на экран опций (скриншот «NFC TagWriter: опции сообщения»). Здесь можно указать приложение, которое будет запущено после прочтения метки (Add launch application) и установить защиту на перезапись сторонним устройством (Apply Soft Protection).
![NFC TagWriter: опции сообщения](https://xakep.ru/wp-content/uploads/2021/01/tagwriter2-540x900.png)
Вновь нажимаем Next и подносим смартфон к тегу. Вуаля, наши данные в нем. Теперь их можно прочитать любым смартфоном с поддержкой NFC. Но что это в конечном итоге дает?
Поддержка в смартфонах
Первым телефоном с интегрированной поддержкой NFC был Nokia 6131, выпущенный еще в 2006 году. Тогда встроенный NFC-чип был всего лишь игрушкой для демонстрации возможностей созданной два года назад технологии. Смартфон был оснащен софтом для считывания NFC-меток, но ввиду их тогдашней дороговизны и почти нулевой популярности технологии ни на какое серьезное применение данная особенность смартфона не претендовала.
После некоторого затишья популяризацией NFC занялась компания Google, выпустившая в 2021 году смартфон Samsung Nexus S и приложение Google Wallet, которое позволяло расплачиваться виртуальными кредитками, используя NFC. На следующий год Google стала ведущим участником NFC Forum и представила Android 4.
Сегодня NFC оснащаются почти все выпускаемые смартфоны. Соответствующий модуль есть даже в сверхбюджетных чипах Mediatek, так что большая часть новых китайских смартфонов стоимостью 5000 рублей тоже им оснащены. В любом случае присутствие чипа NFC легко проверить по наличию пункта «Беспроводные сети -> NFC» в настройках.
Радиус действия
Карта, поддерживающая бесконтактную технологию, использует для передачи сведений подкатегорию RFID.
Кредитка оснащена процессором и антенной, взаимодействующими с терминалом на частоте в 13.56 МГц. Разные платежные системы используют собственные стандарты, которые базируются на схожем принципе.
Радиус действия, при котором настраивается беспроводное соединение, составляет несколько сантиметров. Отсюда следует вывод, что первый этап безопасности – физический. Считывающее устройство на самом деле должно вплотную контактировать с кредитной картой, что довольно сложно выполнить скрытно.
Но хакеры пошли дальше, решив исключить наличие сканера и персональное присутствие пользователя. Дело в том, что многие смартфоны оснащены модулем НФС, и телефоны в большинстве случаев находятся в непосредственной близости от портмоне. Была разработана концепция вируса, превращающая смартфон в своеобразный передатчик, посылающий сигнал о том, что кредитка готова к транзакции.
Разблокировка смартфона
У Motorola есть довольно интересный аксессуар для смартфонов под названием Motorola Skip. Это клипса на одежду для быстрой разблокировки смартфона без необходимости введения PIN-кода или графического ключа. Аксессуар в некоторых случаях довольно полезный, но работает он только со смартфонами той же компании. К счастью, аналогичную штуковину можно собрать на коленке.
Не буду рассказывать, как сделать саму клипсу, — тут каждый волен проявить свою фантазию, NFC-тег можно и на руку наклеить, — а вместо этого скажу, как настроить разблокировку смартфона при ее касании. Есть несколько способов, но самый простой и эффективный — это Xposed-модуль NFC LockScreenOff Enabler.
Дело в том, что в целях безопасности Android запрещает использовать NFC до тех пор, пока экран не будет разблокирован (не просто включен, а именно разблокирован), что сводит на нет многие эффективные приемы его использования. NFC LockScreenOff Enabler решает эту проблему.
![NFC LockScreenOff Enabler: разблокировка NFC-тегом](https://xakep.ru/wp-content/uploads/2021/01/nfc-lockscreen.jpg)
Результаты исследований по вопросам безопасности
Чтобы узнать, безопасен ли NFC в телефоне, предлагаем проанализировать различные факты, касающиеся безопасности инновационной технологии.
Сумма покупки
Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.
Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка — эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.
Но и здесь есть нюансы. Другая команда британских исследователей из Университета Ньюкасла почти год назад сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает.
Представители платежной системы Visa опровергли практическую осуществимость подобной атаки, заявив, что транзакция будет отклонена банковскими системами безопасности.
По словам Тараторина из Райффайзенбанка, терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.
Сценарии использования
На самом деле сценариев использования тегов масса. Я, например, применяю теги для хранения паролей и домашней автоматизации, кто-то для автоматической разблокировки смартфона и автоматического запуска навигатора в автомобиле. Теги можно клеить на стол, на ноутбук, на брелок, внутрь книги, на визитку или вшивать под одежду. Поэтому диапазон их применения огромен, и в конечном счете все упирается только в твою фантазию.
Угрозы при использовании nfc-платежей
Р
2) в процессе оценки нелинейности и неизвестной вспомогательной v. Список использованной литературы:
1. R. L. Carrol , D. P. Lindorff, «An adaptive observer for single-input single-output linear systems,» IEEE Trans. Automat. Control, 1973, vol. AC-18, no. 5, pp. 428-435.
2. R. L. Carrol, R. V. Monopoli, «Model reference adap-tive control estimation and identification using only and output signals,» Processings of IFAC 6th Word con-gress. Boston, Cembridge, 1975, part 1, pp. 58.3/1-58.3/10.
3. G.Kreisselmeier, «A robust indirect adaptive control approach,» Int. J. Control, 1986, vol. 43, no. 1, pp. 161175.
4. P. Kudva, K.S. Narendra, «Synthesis of a adaptive ob-server using Lyapunov direct method,» Jnt. J. Control, 1973, vol. 18, no.4, pp. 1201-1216.
5. K.S. Narendra , B. Kudva, «Stable adaptive schemes for system: identification and control,» IEEE Trans. on Syst., Man and Cybern., 1974, vol. SMC-4, no. 6, pp. 542-560.
6. Bastin, R. Gevers, «Stable adaptive observers for nonlinear time-varying systems,» IEEE Transactions on automatic control, 1988, vol. 33, no. 7, pp. 650-658.
7. N. Oucief, M. Tadjine, S. Labiod, «Adaptive observer-based fault estimation for a class of Lipschitz nonlinear systems,» Archives of control sciences, 2021, vol. 26(LXII), no. 2, pp. 245-259.
8. Besançon, «An Overview on Observer Tools for Nonlinear Systems,» In Lecture Notes in Control and Information Sciences 363, Ed. M. Thoma, M. Morari. Springer, 2007, pp. 10-42.
9. N. Boizot, and E. Busvelle, Adaptive-Gain Observers and Applications,» In Lecture Notes in Control and Information Sciences 363, Ed. G. Besançon. Springer, 2007, pp. 10-42.
10.N. Boizot, E. Busvelle, J-P. Gauthier, An adaptive high-gain observer for nonlinear systems, //Automatica, 2021, vol. 46, is. 9, pp. 1483-1488.
11. N. Karabutov, «Structural identification of dynamic systems with hysteresis,» //International Journal of Intelligent Systems and Applications, 2021, vol. 8, no. 7, pp. 1-13.
12.N. Karabutov, Frameworks in problems of structural identification systems, //International Journal of Intelligent Sys-tems and Applications, 2021, vol. 9, no. 1, pp. 1-19.
13.N. Karabutov. Structural-parametrical Design Method of Adaptive Observers for Nonlinear Systems// International Journal of Intelligent Systems and Applications • February 2021. URL: https://www.researchgate.net/publication/322930172 (Дата обращения: 10.04.19)
© Муханов К.А., 2021
УДК 004
Х.Ю. Ревазов
Магистр 1 курса ИТМО г. Санкт-Петербург, РФ E-mail: xetag_97@mail.ru
УГРОЗЫ ПРИ ИСПОЛЬЗОВАНИИ NFC-ПЛАТЕЖЕЙ
Аннотация
При использовании технологии бесконтактной оплаты производители электроники и банковские организации уверяют в полной безопасности передаваемых данных и минимальных рисках. Однако на данный момент не существует единой методики оценки рисков информационной безопасности для системы бесконтактных платежей, учитывающей все особенности физической основы технологии бесконтактной оплаты, а также построения самой системы. Следовательно, определение угроз информационной
~ 29 ~
безопасности, особенностей и условий их реализации, а также анализ и оценка рисков информационной безопасности не может быть проведена на должном уровне.
Ключевые слова NFC, платежи, угрозы, бесконтактные, карты
Основные угрозы при использовании NFC-платежей
Не смотря на то, что при обмене информацией между картой или смартфоном в режиме эмуляции карты и ридером применяется шифрование, часть информации остается открытой. К тому же информация, которую хранит карта, так же не вся зашифрована. Злоумышленник может прослушивать эфир во время проведения транзакций по бесконтактной карте для выявлений необходимой информации или же считать информацию с самой банковской карты. Данный вид угрозы представляет собой подслушивание информации.
Стандарт EMV допускает хранение определенных сведений в незашифрованном виде в памяти чипа карты. К подобным данным могут относиться номер карты, ряд последних совершенных операций и так далее. Какие именно сведения находятся в открытом виде на карте устанавливает банк-эмитент и платежная система. Такие сведения можно считать с помощью любого устройства, работающего в режиме ридера, например, NFC-телефона, установив в него абсолютно легальное приложение.
Считается, что такого рода открытая информация не ставит под угрозу безопасность карты. Однако проведенное экспертами тестирование десяти различных бесконтактных карт, с использованием доступного NFC-ридера и бесплатного ПО показало, что существует возможность декодировать номер и дату истечения срока действия для всех десяти карт. Полученные данные в дальнейшем можно использовалось для совершения покупок в интернет-магазинах.
Как было сказано ранее рабочая дальность для передачи данных по NFC составляет несколько сантиметров (до 10), что уже дает возможность считывания информации и денежных средств через не металлизированные материалы.
Но исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного нестандартного ридера, который работает на большей дистанции по той же технологии. Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и других местах скопления людей. Так же с помощью такого устройства можно осуществлять подслушивание передаваемых данных в транзакциях.
Впрочем, можно пойти еще дальше и обойтись вовсе без ридера и личного присутствия злоумышленника вблизи жертвы. Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла, представившие доклад на конференции Hack In The Box.
В большинство современных Android-смартфонов встроен модуль (антенна) NFC. При этом смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке или кошельке-обложке. Родригес и Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала. Как только зараженный телефон оказывается возле бесконтактной карты, он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал и подносят к нему свой NFC-смартфон. Таким образом, создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние, с использованием которого можно осуществлять снятие денежных средств или информации с карты.
Возможна реализация, так называемой, атаки человек посередине. Предположим, что А и B используют активный и пассивный режим работы NFC соответственно. А генерирует ВЧ-поля и отправляет данные B. Если злоумышленник (Е) находится на достаточном расстоянии, то он может подслушивать и модифицировать данные, посланные А. При этом А и В не должны быть осведомлены о том, что они разговаривают не друг с другом и принимают и передают данные через Е. Е должна активно мешать
передаче А, чтобы убедиться, что B не получает данных. Обладая необходимыми знаниями и оборудованием реализация такой атаки осуществима.
В случае кражи телефона возможна реализация еще одного способа доступа к использованию денежных средств пользователя. Получив мобильное NFC-устройство, злоумышленник может получить права суперпользователя, подключив это устройство к другому, таким образом, получить всю необходимую информацию и использовать ее для осуществления нелегитимных транзакций.
Не стоит так же забывать, что всегда существует угроза ошибки в программном коде. Угрозы данного типа позволяют получать информацию о платежной информации или позволяющую совершать транзакции из-за ошибок в коде приложения, неверной реализации кода, несоответствия ТЗ и других ошибок, вызванных вследствие недочетов в реализации приложения или же операционной системы.
Например, ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России такой порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.
Пример реализации такой угрозы был представлен командой британских исследователей из Университета Ньюкасла, которая сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы VISA. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.
Список использованной литературы:
1. Сайт лаборатории Касперского [Электронный ресурс]- Режим доступа: https://www.nfcphones.ru/blog/contactless-payments-security/8608/ -дата обращения 29.09.2021
2. Угрозы NFC [Электронный ресурс]. — Режим доступа: http://nfc-forum.org/titels/hack_box_results.html, свободный.
3. Прилуцкий А.Технология NFC: что, зачем и когда [Электронный ресурс] / А. Прилуцкий . — 2021. -Режим доступа: http://www.hardnsoft.ru/academy/technology/28916/, свободный.
© Ревазов Х.Ю., 2021
УДК: 633.11;631.89
Вафоева М. Б., научный сотрудник Кашкадарьинский филиал научно-исследовательского института зерно и зернобобовых бобовых культур (Кашкадарьинский филиал НИИЗЗК)
туа£эуеуа@тай. т
ВЛИЯНИЕ ЛИСТОВОЙ ПОДКОРМКИ (СУСПЕНЗИИ) НА УРОЖАЙНОСТЬ
ОЗИМОЙ ПШЕНИЦЫ
Аннотация
Широкое внедрение в производство инновационных технологий основанных на оптимальные режимы орошений и удобрений, а так же на высоких агротехнологий при получении стабильной и высокой урожайности с качественным зерном озимых хлебов в поливных условиях, изучение потребности к факторам влияющие на показатели урожайности перед возделыванием сельскохозяйственных культур является требованием времени. Внедрение научно обоснованных инновационных технологий даст возможность увеличить урожайность в 2-2,5 раза.
Ключевые слова:
пшеница, зерно, удобрение, суспензия, стабильный, оптимальный, сорт, фактор, вариант, урожайность.
В стране проводятся последовательные реформы с целью повышения урожайности зерновых, производства высококачественного семенного материала и использования инновационных методов сельскохозяйственной технологии. В то же время по-прежнему существуют неиспользованные возможности и серьезные проблемы, требующие решения в связи с резким увеличением урожая зерновых в стране.
Факторами, влияющими на урожай зерновых культур, являются, прежде всего, биологическая характеристика каждого сорта, природно-климатические условия, оптимальные методы сроков и норм высадки семян, нормы и сроки применения удобрений, влагообеспеченность, болезни и вредители, а также своевременный сбор урожая.
Научное применение удобрений является одним из ключевых факторов развития сельского хозяйства. Потому что, согласно результатам большинства исследований и передового опыта, 45-50% полученного урожая приходится на долю удобрений. В то же время, неправильное использование органических и минеральных удобрений может привести к загрязнению окружающей среды и снижению эффективности.
Важность применения листовой подкормки на фоне минеральных удобрений, используемых для повышения продуктивности озимой пшеницы выращенной на орошаемых светло-серозёмных почвах, для производства высококачественного зерна, также неоценима.
В 2021 году в полевом участке Кашкадарьинского филиала научно-исследовательского института зерно и зернобобовых бобовых культур был проведён полевой опыт с целью определения влияния и эффективности листовой подкормки на урожайность озимой пшеницы. Почва данной зоны относится к светло-серозёмным почвам. Опыт состоял из 10 вариантов в 3-х кратной повторности. Мероприятия обработки суспензией по листу проводилась в 2, 3 и 4 приёма из расчёта 3 л/га, 4 л/га ва 5 л/га в фазы кущения с 01-15 декабря и 15-28 февраля, а так же в фазу выхода в трубку с 01-15 марта и 15-30 марта.
Азот является одним из наиболее усвояемых питательных элементов пшеницы. Азот также составляет основную часть белка пшеницы и клейковины. В то же время при возделывании пшеницы не рекомендуется применять азот в избыточном количестве. Если озимая пшеница усвоит азот в избыточной норме, это увеличит зимнюю неустойчивость и приведёт к полеганию растений.
По данным В.И.Тюрина известно, что содержание азота в серозёмных почвах составляет 0,1-0,2 %, из расчёта такого количества на каждый гектар приходится 24 центнера. В светло-серозёмных почвах этот показатель ещё ниже.
Эксперты рассказали о новом мобильном вирусе для банковских android-приложений
Специалисты по информационной безопасности из компании Lookout зарегистрировали волну атак с использованием обновленной версии Android-трояна Anubis. Об этом в среду, 15 декабря, «Известиям» сообщили в компании.
Вирус распространяется через вредоносные сайты и ссылки в соцсетях. Более того, расширенный функционал вредоносной программы позволяет злоумышленникам записывать изображение с экрана и звук с микрофона зараженного смартфона, отправлять SMS-сообщения без ведома владельца устройства и требовать выкуп за разблокировку гаджета.
Принцип атаки заключается в том, что Anubis сначала определяет, включена ли на взломанном устройстве функция Google Play Protected (встроенный сканер угроз). Если нет, программа отправляет поддельное системное уведомление, мотивирующее пользователя отключать защиту. После этой процедуры троян получает полный доступ к устройству и возможность отправлять и получать данные с сервера злоумышленников. В Lookout отметили, что новая версия Anubis настроена на атаки 394 приложений различных банков и криптокошельков. Исследователи отмечают, что в дальнейшем деятельность операторов станет активней и приобретет другие масштабы.
Как подчеркнул эксперт по мобильным угрозам «Лаборатории Касперского» Виктор Чебышев, по итогам III квартала 2021 года этот троян занял первое место по числу заражений как в РФ, так и в остальном мире. В России он угрожает пользователям различных мобильных приложений, включая банковские.
«Перечень атакуемых предыдущей версией Anubis российских банковских приложений был довольно обширным. Стоит сказать, что под угрозой находятся не только банковские приложения, но приложения для заказа такси, покупки авиа- и железнодорожных билетов, аренды жилья, а также приложения досок объявлений», — уточнил эксперт.
Предположительно, разработчиками Anubis являются русскоязычные специалисты, новая версия будет быстро и эффективно адаптироваться под российские приложения, считает Чебышев.
Anubis распространяется разными способами, включая официальные магазины приложений. Единственным универсальным способом защиты от трояна является использование защитных решений, проверяющих систему в режиме реального времени, подчеркивает эксперт.
«Дело в том, что нужно не допустить запуск троянца. После запуска риск того, что троянец успешно отработает свою цель, многократно увеличивается», — добавил он.
В июне текущего года разработчик антивирусного программного обеспечения ESET сообщила о росте вредоносных программ на устройствах Android. По данным экспертов, количество вредоносных программ для банковских приложений с января по апрель выросло на 158,7%.
Самой распространенной угрозой является TrojanDropper.Agent: доля киберинцидентов при его использовании с января по апрель составила 26,4%. Следом идут троян Agent Trojan (19,2%) и Hiddad Trojan (8,6%).
Выводы
Технология NFC имеет массу применений, и я уверен, что уже через пять лет NFC-метки и терминалы оплаты будут повсюду, от рекламных плакатов до супермаркетов. И я надеюсь, что хоть в этот раз Россия не отстанет от всего мира на пятьдесят лет.