Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/08/2012
El pagament a través del mòbil, nou objetiu dels pirates informàtics
L’investigador Charlie Miller ha demostrat en la conferència de seguretat Black Hat que qualsevol hacker pot controlar els telèfons intel·ligents fabricats per Samsung i Nokia gràcies a la vulnerabilitat de la tecnologia de comunicació de Near Field Communication (NFC), un intercanvi de dades sense fil a través del qual és possible, entre altres, el pagament amb el telèfon mòbil.
Només que el hacker en qüestió estiga prop d’un telèfon intel·ligent amb NFC ja es pot produir l’atac que farà que s’apropie de forma electrònica del telèfon que ha rebut l’atac. L’atac funciona posant el telèfon a pocs centímetres de distància d’un xip (d’un quart de grandària) o situant-lo de tal manera que toque un altre dispositiu NFC. Llavors, el codi del xip (controlat per l’atacant) es transferirà al telèfon de destinació, el qual obrirà arxius maliciosos o pàgines web que s’aprofitaran de la vulnerabilitat del lector de documents, el navegador o, en alguns casos, del mateix sistema operatiu.
Miller, principal consultor d’investigació de la companyia de seguretat Accuvant, ha passat els últims cinc anys demostrant les fallades o defectes que permeten als pirates informàtics controlar els Mac, iPhone i els telèfons intel·ligents d’Android. Durant la conferència de seguretat Black Hat d’enguany a Las Vegas, ha centrat l'atenció en les capacitats de l'NFC de tres populars dispositius mòbils: el Nexus S, el Galaxy Nexus de Samsung i el Nokia N9. En el cas del Nexus S, en el moment en què funcionava amb Gingerbread (Android 2.3) va ser vulnerat per Miller només usant una etiqueta específicament dissenyada per a controlar l’aplicació Daemon que controla les funcions d'NFC. A més, Charlie Miller també va dir que l’etiqueta podria ser modificada per a executar codi maliciós en el dispositiu.
Ara, en l’última versió d’Android, IceCream Sandwich (4.0), pareix que algunes d’estes fallades de seguretat s'han solucionat, però no totes. La inseguretat dels telèfons intel·ligents amb tecnologia NFC és tal que qualsevol podria introduir-se en el navegador web del telèfon intel·ligent d’un usuari i controlar-lo sense restriccions.
Miller ho explicava referint-se als usuaris dient: "Això significa que amb una etiqueta NFC, si jo toque el teu telèfon, o el sent, el teu navegador web, sense que tu faces res, l'obrirà i anirà a la pàgina que jo li diga". La funcionalitat que, de moment, tenen les etiquetes NFC és la mateixa que quan s’escanegen codis QR, però de forma més senzilla, ja que només cal acostar el mòbil a l'etiqueta perquè la llija.