Mac-hacker kraakt Android-telefoon via NFC
De bekende Mac-hacker Charlie Miller blijkt ook op het Android-platform goed uit de weg te kunnen, want tijdens de Black Hat conferentie demonstreerde hij een hack van een Nexus S via NFC (near-field communication). Door een NFC-tag in de buurt van een Nexus S te houden kan hij de smartphone dwingen om een willekeurige website te openen. In het geval van een kwaadaardige website met een exploit zou hij de telefoon zelfs kunnen overnemen.
Aangezien de afstand van de NFC-chip beperkt is, moet Miller dicht in de buurt van zijn slachtoffers staan. De kwetsbaarheid die Miller gebruikt is in recente versies van Android (4.01 en nieuwer) opgelost, maar veel Android-gebruikers beschikken niet over deze versies. Leveranciers zijn traag met het uitrollen van nieuwe versies, terwijl gebruikers weer traag zijn met het installeren ervan.
"Als je eenmaal beseft dat NFC de toegang opent naar de browser en andere grote aanvalsoppervlakten, dacht ik waarom zou ik mijn tijd met deze NFC-bugs verspillen", aldus Miller tegenover Forbes. "Als een aanvaller zou ik niet naar NFC-bugs kijken, maar me richten op andere applicaties die ik via NFC kan starten.
Bluetooth
Verder demonstreerde Miller nog een aanval op het Nokia N9 Meego besturingssysteem. Miller ontdekte een manier om de telefoon via een NFC-tag met een willekeurig apparaat via Bluetooth te laten 'pairen'. De aanval werkt zelfs als de gebruiker Bluetooth pairing heeft uitgeschakeld, omdat de telefoon dit wel via NFC toestaat.
Is het pairen succesvol, dan kan een aanvaller toegang tot allerlei gegevens op de telefoon krijgen, zo meldt Kaspersky's Threatpost.
Het lijkt er weer op dat er eerst alleen maar gedacht wordt aan de feature en mogelijkheden (in dit geval die van NFC).
En dat de securitie ervan later toegevoegd gaat worden / genegeerd wordt.
- 1e probleem; browser/webpagina word geopend / file transfer zonder eerst bevestiging te vragen.
Een bevestiging vragen is makkelijk in de nfc applicatie erbij te programmeren, is er als design uitgelaten. Kwestie van gemak vs veiligheid. Er zijn nfc tag apps die wel eerst toestemming vragen.
- 2e probleem; onveilige dingen in de browser waardoor kwaadaardige code uitgevoerd kan worden vanaf een webpagina.
Gaten in de browser zijn er altijd al geweest, ontwikkelaars moeten die fixen, wij moeten updaten.
Indien je gewoon alle tags (die je in de toekomst tegen gaat komen) tapt met je nfc-mobieltje EN je toestel vraagt niet of je dit of dat wil toestaan EN je browser heefd veiligheidsgaten... das niet gezond nee.
http://www.nfc-phones.org/nfc-tags/ Hier een hele hoop informatie over Tectiles, SmartTags, Tag+, Mifare ect. Ook info over de problemen waar dit artikel over gaat.
John Hendriks
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.