Выявленные уязвимости в NFC снижают надежность электронных платежей

Опубликовано: 19 ноября 2014 г., среда

Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио при поддержке компании Hewlett-Packard. Исследователям уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах

Для этой цели были выбраны такие известные устройства как Apple iPhone 5s, iPad Mini, Amazon Fire Phone, BlackBerry Z30, Google Nexus 5 и 7, а также Nokia Lumia 1520 и Samsung Galaxy S5.

В первый день конкурса все используемые устройства, в том числе и Samsung Galaxy S5, были взломаны. Следует сказать, что защиту Samsung Galaxy S5 удалось скомпрометировать дважды, проэскпулатировав две разные бреши в технологии NFC. Жертвой атаки через NFC стал также LG Nexus 5. Оба указанных устройства работают на платформе Android. Помимо NFC, платформами для атак стали штатные браузеры систем.

На второй день состязания ни одно из устройств не было полностью скомпрометировано. Механизм security sandbox оказался надежным у Windows Phone 8 (Nokia Lumia 1520). Так, исследователи успешно эксплуатировали RCE-эксплоит для получения доступа к файлам cookie, Тем не менее, обойти ограничения песочницы не удалось. Аналогичная ситуация сложилась и с попыткой провести атаку на Google Nexus 5 через сервис Wi-Fi в OS Android.

По правилам конкурса продемонстрированные ресерчерами уязвимости сразу же отправляются соответствующим вендорам для их анализа и выпуска соответствующего обновления.

Специалистам компаний по информационной безопасности, которые производят указанные мобильные устройства, стоит обратить особое внимание на  связанные с NFC уязвимости, тем более что эта технология все шире применяется в электронных платежах. 

Источник: ESET/habrahabr.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

Trojan.Gozi.64 - очередной банковский зловред

Trojan.Gozi.64 может встраивать в веб-страницы поддельные формы авторизации на банковских сайтах, при этом URL такого сайта в адресной строке браузера остается корректным дальше »

Немецкий мобильный банк запустил поддержку Apple Pay

Немецкий мобильный банк N26 запустил поддержку Apple Pay в четырех европейских странах: Франции, Испании, Италии и Финляндии. дальше »

МБА запускает новое мобильное приложение

Международный Банк Азербайджана (МБА) запускает для своих клиентов цифровую услугу «IBAm», базирующуюся на платформе Backbase цифрового банкинга. дальше »

Новый сервис PayPal Money Pools по сбору денег для друзей (2)

Платежная система PayPal запустила новый сервис функционал Money Pools, с помощью которого позватели смогут объединять и отслеживать собственные расходы для групповых или личных некоммерческих целей. дальше »

Обнаружен вирус, ворующий криптовалюту

Специалисты «Лаборатории Касперского» обнаружили новый компьютерный вирус, который занимается кражей цифровых денег, криптовалют. дальше »

Исследование по носимым устройствам “How We Will Pay”

Как показали результаты исследования “How We Will Pay”, большинство респондентов хотели бы совершать ежедневные покупки с помощью носимых устройств удобным и безопасным способом. дальше »

Фишинговые атаки опаснее кейлоггеров и утечек данных

Специалисты Google совместно с учеными Калифорнийского университета в Беркли и Международного института компьютерных наук (International Computer Science Institute) опубликовали результаты исследования современных киберугроз. дальше »

Visa реализовала платежный функционал в умных часах Fitbit Ionic

Исследование Visa показало, что владельцы носимых устройств больше тратят, предпочитают безналичную оплату наличным и ценят удобство и простоту оплаты с помощью таких устройств. дальше »

Facebook Messenger запустит сервис по P2P-переводу денег в Великобритании

Британцы получат возможность отправлять средства друг другу через Facebook Messenger в ближайшие недели. дальше »

В Китае небанковские платежные системы будут работать через единую онлайн-платформу

Народный банк (Центральный банк) Китая намерен с середины 2018 года использовать сетевую платформу для контроля переводов небанковских платежных систем. дальше »