lunes, 29 de diciembre de 2008

Abusos de los móviles NFC

La charla sobre ataques a los móviles NFC sobre todo ha presentado múltiples maneras de abusar las especificaciones de lectores y tags de NFC (que es un sistema en el que los teléfonos móviles llevan un lector parecido al de RFID, de hecho el nivel físico es el mismo, pero el lógico es diferentes).

Aunque el sistema no tiene cifrado, tampoco las aplicaciones actuales que lo usan son muy sofisticadas, por lo que los abusos son limitados, sobre todo variantes de dos tipos:
  • Los datos que presenta un tag consisten en un URL y un texto descriptivo, pero el texto se puede manipular para que parezca que el URL va a hacer una cosa inocente (pero se envía a un sitio malicioso)
  • El hecho de que a base de una pantalla electromagnética (alias papel aluminio) se puede pegar un nuevo tag (coste 1,2€) encima de un tag existente para sustituirlo.
El caso más gracioso es el de unas máquinas de venta automática de Viena, en la que el tag codifica la máquina y luego el teléfono envía un sms que origina el cobro y que la máquina libere el producto elegido. Un abuso potencial es leer el código de una máquina, grabarlo en otro y pegarlo en una máquina distante. A continuación no queda más que esperar que otro usuario pague el producto en la máquina distante para tenerlo localmente...

Por supuesto, todo va acompañado de la liberación del código base que permite jugar con los tags (actualmente sólo disponible en unos pocos teléfonos y aplicaciones).

No hay comentarios:

Publicar un comentario