Czy NFC może być niebezpieczne?

Komunikacja bliskiego zasięgu zdobyła niesamowitą popularność dzięki systemom płatności zbliżeniowych. Niestety NFC może zostać wykorzystane do przeprowadzania ataków.

Komunikacja bliskiego zasięgu znana głównie jako NFC (skrót od angielskiej nazwy Near Field Communication) to radiowy standard krótkozasięgowego i wysokoczęstotliwościowego przesyłania danych na odległości do około 20 centymetrów.

NFC może zostać wykorzystane do przeprowadzania aktów cybernetycznych
Źródło: Jonas Leupe / Unsplash

NFC może zostać wykorzystane do przeprowadzania aktów cybernetycznych

Źródło: Jonas Leupe / Unsplash

Technologia NFC została spopularyzowana w 2014 roku, kiedy to Google oraz Apple zaprezentowali swoje systemy płatności zbliżeniowych z wykorzystaniem urządzeń mobilnych. Na rynku pojawiło się Google Pay (wtedy znane jako Android Pay) oraz Apple Pay. Od tego czasu praktycznie każdy nowy smartfon niezależnie od tego czy kosztuje kilkaset czy kilka tysięcy złotych posiada wbudowany moduł NFC, który wykorzystywany jest do płatności zbliżeniowych.

Zobacz również:

  • Apple naraża się na kłopoty w Europie - chodzi o Apple Pay
  • Ataki wykorzystujące szyfrowanie pokonują ochronę 70% organizacji - raport

System NFC jako protokół komunikacji bliskiego zasięgu pozwala na transmisję niewielkiej ilości informacji w stosunkowo krótkim czasie. Poza płatnościami zbliżeniowymi NFC wykorzystywane jest do szybkiego parowania urządzeń z wykorzystaniem innego standardu komunikacji bezprzewodowej np. Bluetooth lub Wi-Fi.

NFC jest niezwykle popularne, ale brak odpowiednich szkoleń spowodował, że użytkownicy rzadko zdają sobie sprawę z zagrożeń, jakie niesie za sobą wykorzystanie funkcji NFC.

Różnica pomiędzy NFC, a RFID

Bardzo często technologia NFC mylona jest RFID. W praktyce NFC jest podtypem RFID z dodatkowymi zabezpieczeniami.

Chipy RFID znajdziemy w kartach przedpłaconych oraz kartach dostępu. Komunikacja RFID często służy również do weryfikacji użytkownika - znajdziemy ją w popularnych kartach dostępu oraz fizycznych kartach płatniczych z systemami PayWave oraz PayPass. RFID to skrót od Radio Frequency IDentification. System składa się z małego transpondera radiowego przenoszącego informacje, odbiornika oraz nadajnika. Czasami elementy systemu nazywane są tagami, czytnikami oraz antenami. Technologia ta wykorzystywana jest również w elektronicznych metkach w sklepach oraz kartach dostępu do biura wykorzystywanych przez pracowników. RFID jest także chętnie stosowane do chipowania zwierząt domowych lub monitorowania samochodów wjeżdżających i wyjeżdzających z parkingów.

Google Pay i Apple Pay spopularyzowały NFC
Źródło:  Mika Baumeister / Unsplash

Google Pay i Apple Pay spopularyzowały NFC

Źródło: Mika Baumeister / Unsplash

RFID nie jest w pełni bezpieczne, ponieważ podczas przesyłania danych nie wykorzystuje szyfrowania. Skimmery NFC pozwalają hakerom na bezproblemowe odczytywanie danych RFID z urządzeń kompatybilnych z systemem, które znajdują się w niedalekiej odległości.

NFC jest podtypem RFID, które podczas przesyłania danych poddaje je szyfrowaniu. Jest ono główna różnicą odróżniającą NFC od RFID. Obie technologie działają w identyczny sposób, a blokery RFID, które znajdziemy w wybranych portfelach lub jako karty czy breloki pozwalają zatrzymać również przesyłanie danych z wykorzystaniem NFC.

W kartach płatniczych znajdziemy RFID
Źródło: Nathana Rebouças / Unsplash

W kartach płatniczych znajdziemy RFID

Źródło: Nathana Rebouças / Unsplash

NFC też nie jest w pełni bezpieczne

Wprowadzenie szyfrowania danych podczas ich przesyłania sprawia, że NFC jest znacznie bardziej bezpieczne, niż RFID, ale nadal nie jest to protokół idealny.

Podczas projektowania NFC skupiano się głównie na zapewnieniu wygodny korzystania z tego protokołu, a funkcje bezpieczeństwa znalazły się na drugim planie.

Do zestawienia komunikacji poprzez NFC potrzebne są dwa urządzenia z aktywnym modułem NFC, które znajdują się w niedalekiej od siebie odległości (maksymalnie 20 centymetrów). Do połączenia nie trzeba dedykowanych haseł oraz dodatkowych poświadczeń. Połączenie z wykorzystaniem NFC nawiązywane jest automatycznie bez konieczności jakiegokolwiek logowania lub potwierdzania swojej tożsamości. Oznacza to, ze każda odpowiednio blisko znajdująca się osoba może zestawić połączenie NFC.

Producenci smartfonów zabezpieczają je przed atakami z wykorzystaniem NFC

Na szczęście producenci sprzętu elektronicznego zdają sobie sprawę z ułomność funkcjonowania NFC. W przypadku smartfonów z Androidem, aby moduł NFC był aktywny smartfon musi być odblokowany, co ogranicza ryzyka zestawienia połączenia w momencie, gdy nie korzystamy z urządzenia. W smartfonach Apple moduł NFC należy wywołać ręcznie poprzez dwukrotne przyciśnięcie przycisku zasilania i dodatkowo potwierdzić swoją tożsamość z wykorzystaniem Face ID lub Touch ID. Zegarki firmy Garmin wymagają uruchomienia aplikacji Garmin Pay, aby włączyć moduł NFC. Różni producenci posiadają odmienne podejście do zabezpieczenia komunikacji z wykorzystaniem NFC.

Ataki z wykorzystaniem NFC

Cyberprzestępcom zdarza się korzystać z technologii NFC do przeprowadzania ataków. Ze względu na brak kontroli bezpieczeństwa poprzez zestawienie połączenia z wykorzystaniem NFC może zostać ono wykorzystane do przesłania złośliwego oprogramowania lub zainfekowanego pliku na urządzenie klienckie.

Dodatkowym problemem jest fakt, że transfery z wykorzystaniem NFC najcześciej odbywają się bez wiedzy użytkownika. Wystarczy zatem umieścić tag w odpowiednim miejscu, aby zainicjować atak. Niewielki tag NFC do działania nie potrzebuje zasilania, a jego rozmiary są bardzo małe. Z tego względu można łatwo umieścić go pod stołem, w aucie lub innym dogodnym miejscu. Wystarczy, że smartfon znajdzie się w niedalekiej odległości, aby rozpocząć transfer danych.

Producenci posiadają różne rozwiązania zabezpieczające NFC
Źródło: garmin.com

Producenci posiadają różne rozwiązania zabezpieczające NFC

Źródło: garmin.com

Kolejne kroki ataku zależą już od wykorzystanego kodu złośliwego oprogramowania.

Jak zabezpieczy się przed atakami NFC?

Najskuteczniejszym sposobem na zapobieganie atakom z wykorzystaniem technologi NFC jest dezaktywacja NFC w momencie, gdy nie zamierzamy z niego korzystać. Rozwiązanie to nie jest zbytnio wygodne, ponieważ NFC została zaprojektowane właśnie w celu szybkiego przesyłania danych np. podczas dokonywania płatności zbliżeniowych.

Warto polegać na zabezpieczeniach stosowanych przed producentów oprogramowania. Systemy operacyjne takie jak Android czy iOS posiadają wbudowane narzędzia, które znacząco ograniczają ryzyko ataku z wykorzystaniem technologii NFC.

Dobrym pomysłem jest niezostawianie odblokowanego urządzenia w miejscach publicznych, ponieważ może zostać ono wtedy wykorzystane do ataki z wykorzystaniem tagu NFC.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200