Ang komperensiya ng Black Hat ay naganap sa Las Vegas sa linggong ito, kung saan ang mga hacker, mga dalubhasa sa seguridad at mga kinatawan mula sa mga pangunahing kumpanya ay nagtitipon upang talakayin ang lahat ng mga bagay na nauugnay sa seguridad ng impormasyon. Kung sinusundan mo ang balita sa labas ng kumperensya ngayon, maaaring natagpuan mo ang mga ulat ng isang bagong kahinaan sa seguridad sa Android (at mga NFC na pinapagana ng Meego) na maaaring magpahintulot sa isang malisyosong NFC (malapit sa larangan ng komunikasyon) na mai-tag ang beam malware direkta sa iyong telepono. Mga tunog na nakakatakot, di ba? Ngayon ay maaaring sakupin ng mga hacker ang iyong smartphone nang wala ka ring ginagawa. Ngunit tulad ng palaging nangyayari sa mga ganitong uri ng mga isyu sa seguridad, hindi ito kasing simple ng tila. At ang hack na ito ng NFC na 'sexy' at technically ay hindi, talagang hindi nakakatakot sa mga regular na gumagamit ng smartphone.
Basahin upang malaman kung bakit.
Una, dapat nating mabilis na ipaliwanag kung ano talaga ang NFC. Ito ay nakatayo para sa komunikasyon na malapit sa larangan, at ito ay napaka napaka-short-range na wireless na komunikasyon na teknolohiya na dinisenyo para sa pagpapadala ng mga maliliit na halaga ng data na agad sa sobrang maikling distansya. Sa mga smartphone, maaari itong magamit upang mailipat ang mga bagay tulad ng mga URL mula sa isang handset papunta sa isa pa, o kahalili upang mai-scan ang mga "tag" ng NFC, na kung saan maaari silang maglaman ng maliit na dami ng data na maaaring pagkilos ng telepono. Maaari rin itong magamit para mapadali ang mga pagbabayad, halimbawa sa pamamagitan ng Google Wallet. (sa aming Android AZ)
Marami sa mga mapagkukunan ang nag-ulat na ang security researcher na si Charlie Miller ay nagpakita ng iba't ibang mga pamamaraan para sa pag-hack sa Nexus S (sa Gingerbread), ang Galaxy Nexus (sa Ice Cream Sandwich) at ang Meego na pinapatakbo ng Nokia N9 sa Black Hat ngayong linggo. Marami sa mga nakakatakot na pagsasamantala ang natagpuan sa N9, ngunit tutukan namin ang Android dito, 'sanhi iyan ang ginagawa namin. (At iyon din ang tinutuon ng marami sa mga headlines ngayon.)
Simula sa mataas na dulo, ipinakita ng Galaxy Nexus Miller na ang mga teleponong Android na pinapagana ng NFC na tumatakbo sa Ice Cream Sandwich o kalaunan ay gumagamit ng Android Beam, isang tampok na kung saan ang ilan (ngunit hindi lahat) ay naka-on nang default. Sa gitna ng iba pang mga bagay, hinahayaan ng Beam ang mga gumagamit na mag-load ng mga URL mula sa ibang telepono o NFC tag nang direkta sa web browser ng aparato. Nangangahulugan ito na posible, na may isang malisyosong tag ng NFC, upang magpadala ng isang hindi mapagpalagay na gumagamit nang direkta sa isang nakakahamak na web page. Gayunman, upang gumana, ang tag ay kailangang nasa loob ng napaka-maikling saklaw kung saan maaaring gumana ang mga radio NFC - talaga lahat ngunit hawakan ang likod ng aparato. Binubuksan ng Android Beam ang mga naka-tag na URL nang awtomatiko nang walang anumang pag-agaw, sa pamamagitan ng disenyo. Ito ay isang wastong pag-aalala sa seguridad, ngunit hindi isang pagsamantalahan sa tradisyonal na kahulugan, tulad ng upang gawin ang anumang kailangan mo upang makahanap ng kahinaan sa web browser na pinili ng gumagamit.
Kung gumagamit ka ng built-in na browser ng Android sa Android 4.0.1, pagkatapos umiiral ang tulad ng isang bug, at maaaring payagan ang isang espesyal na idinisenyo na web page na magpatakbo ng code sa aparato. Muli, ang isang ganap na wastong isyu sa seguridad, ngunit ang paggamit ng NFC bilang isang paraan ng paghahatid para sa ganitong uri ng pagsasamantala ay malayo sa praktikal. Hindi sa banggitin ang Android 4.0.1 ay inilabas lamang sa Galaxy Nexus, isang telepono na mula nang na-update sa Android 4.0.4 o 4.1.1, depende sa iyong tagadala.
Ipinakita din ni Miller kung paano niya mapagsamantala ang mga bug sa pamamahala ng memorya ng Android 2.3 upang maging sanhi ng isang aparato ng Gingerbread na may suporta sa NFC upang maisagawa ang code gamit ang isang nakakahamak na tag. Ang potensyal na iyon ay nagbibigay ng isang umaatake ng kakayahang kontrolin ang aparato gamit lamang ang isang NFC tag, ngunit dapat nating ituro ang ilang mga kadahilanan na ginawang hindi gaanong malubhang isyu na maaari mong isipin. Sigurado, ang Android 2.3 Gingerbread pa rin ang pinaka-ginagamit na bersyon ng Android, at maraming mga bagong aparato ng Android na may suporta sa NFC, ngunit mayroong maliit na cross-over sa pagitan ng dalawa. Ang Nexus S ay ang unang handset ng Android na sumusuporta sa NFC, ngunit mula nang na-update ito sa Jelly Bean. Ang iba pang mga aparato na sumusuporta sa NFC ay naipadala sa 2.3, ngunit ang karamihan sa mga pangunahing teleponong Android na may NFC ay tumatakbo ng hindi bababa sa bersyon 4.0.3, na hindi masusugatan sa mga pagsasamantala na ginamit sa demo na ito. Sa katunayan, hindi namin maiisip ang isang solong telepono ng Gingerbread na may NFC na hindi pa maa-update sa hindi bababa sa Android 4.0.3.
Kaya ang mga kahinaan ay tiyak na umiiral, ngunit sa ngayon ang mga seryoso lamang ay limitado sa isang napakaliit na subset ng populasyon ng Android na may NFC, at isang napaka tukoy na bersyon ng OS. Ano pa, ang telepono ay kailangang maipapagana, ang radio ng NFC ay kailangang paganahin, at ang gumagamit ay kailangang guluhin nang maayos upang hindi mapansin ang pinag-uusapan na tono o panginginig ng NFC.
Sa huli, ang anumang pagsasamantala na kinasasangkutan ng pisikal na pag-access sa aparato na na-hack ay magiging limitado sa paggamit sa mga tunay na masamang tao. Ang pagkontrol sa isang smartphone sa NFC sa totoong mundo ay magiging mapanganib at hindi praktikal na magiging mga perps, kahit na ang mga pamamaraan na ipinakita sa Black Hat ay nai-publise. Kung mayroon akong access sa iyong telepono, na pinapagana, para sa isang pinalawig na panahon, na may malisyosong hangarin, ang NFC ay hindi magiging aking unang port ng tawag. Ang mga pagsasamantala na ipinakita ni Charlie Miller sa linggong ito ay mapanlikha at hindi maikakaila cool na basahin. Ngunit madali itong palawakin ang totoong panganib na kanilang ipinataw, lalo na kung ang pangunahing pag-uulat ng mga hack na ito ay magaan sa mahahalagang teknikal na mga detalye.
Bottom line - kung masiyahan ka sa paggamit ng NFC sa iyong Android phone paminsan-minsan, ligtas kang magpatuloy sa paggawa nito.
Higit pa: Arc Technica
