forum.opennet.ru

Составление сообщения

Исходное сообщение

"Продемонстрировано чтение кредитных карт при помощи смартфон..."
Отправлено opennews, 22-Июн-12 16:51

Томас Шкора (Thomas Skora (https://twitter.com/#!/blubbfiction)), исследователь безопасности из Германии,
представил (http://www.scmagazine.com.au/News/305881,android-app-steals-contactless-credit-card-data.aspx) приложение для платформы Android, способное читать содержимое бесконтактных кредитных карт. Для создания канала связи задействован стандартный беспроводной стек NFC (Near Field Communications), используемый для обмена данными в пределах малого радиуса действия. Код приложения опубликован (https://github.com/thomasskora/android-nfc-paycardreader) на GitHub.

Приложение было успешно протестировано для сбора детальной информации с кредитных карт PayPass Mastercard, но также работает и с другими платёжными системами, такими как GeldKarte, пользующимися популярностью в Германии. В процессе демонстрации удалось считать номер карты, срок действия, информация о транзакциях, идентификаторы торговых систем. По словам разработчика, создавая приложение он не преследовал злонамеренных целей, а лишь попытался продемонстрировать незащищённость бесконтактных платёжных систем и способность организации атаки при помощи обычного смартфона с поддержкой NFC.

Атаки на бесконтактные кредитные карты не являются новинкой, но в данном случае для организации доступа, вместо специализированных устройств, оказалось достаточно стека NFC. Малый радиус действия NFC (порядка 10 см.) ограничивает условия совершения атаки и не позволяет организовать сбор данных в глобальных масштабах. Тем не менее, компания Google сочла приложение опасным и удалила android-nfc-paycardreader из Android Market, откуда некоторое время можно было загрузить готовую сборку. После удаления, автор приложения разместил (https://github.com/thomasskora/android-nfc-paycardreader/dow...) APK пакет на стороннем сервере.

Дополнительно можно отметить обнаружение (http://marc.info/?l=linux-kernel&m=134030878917784&w=2) в NFC-стеке ядра Linux пяти удалённо эксплуатируемых переполнений буфера, которые можно использовать для организации выполнения кода через отправку на устройство жертвы специально оформленных пакетов с полями некорректной длины. Положительным моментом является то, что NFC-стек интегрирован в ядро Linux относительно недавно и ещё не получил распространения. Для решения проблемы представлен патч, но авторы патча предупреждают, что проблема имеет системный характер и требует для своего решения более глобальной переработки кода.
URL: http://www.h-online.com/open/news/item/Android-application-r...
Новость: https://www.opennet.ru/opennews/art.shtml?num=34164

Исходное сообщение
"Продемонстрировано чтение кредитных карт при помощи смартфон..." Отправлено opennews, 22-Июн-12 16:51
Томас Шкора (Thomas Skora (https://twitter.com/#!/blubbfiction)), исследователь безопасности из Германии, представил (http://www.scmagazine.com.au/News/305881,android-app-steals-contactless-credit-card-data.aspx) приложение для платформы Android, способное читать содержимое бесконтактных кредитных карт. Для создания канала связи задействован стандартный беспроводной стек NFC (Near Field Communications), используемый для обмена данными в пределах малого радиуса действия. Код приложения опубликован (https://github.com/thomasskora/android-nfc-paycardreader) на GitHub. Приложение было успешно протестировано для сбора детальной информации с кредитных карт PayPass Mastercard, но также работает и с другими платёжными системами, такими как GeldKarte, пользующимися популярностью в Германии. В процессе демонстрации удалось считать номер карты, срок действия, информация о транзакциях, идентификаторы торговых систем. По словам разработчика, создавая приложение он не преследовал злонамеренных целей, а лишь попытался продемонстрировать незащищённость бесконтактных платёжных систем и способность организации атаки при помощи обычного смартфона с поддержкой NFC. Атаки на бесконтактные кредитные карты не являются новинкой, но в данном случае для организации доступа, вместо специализированных устройств, оказалось достаточно стека NFC. Малый радиус действия NFC (порядка 10 см.) ограничивает условия совершения атаки и не позволяет организовать сбор данных в глобальных масштабах. Тем не менее, компания Google сочла приложение опасным и удалила android-nfc-paycardreader из Android Market, откуда некоторое время можно было загрузить готовую сборку. После удаления, автор приложения разместил (https://github.com/thomasskora/android-nfc-paycardreader/dow...) APK пакет на стороннем сервере. Дополнительно можно отметить обнаружение (http://marc.info/?l=linux-kernel&m=134030878917784&w=2) в NFC-стеке ядра Linux пяти удалённо эксплуатируемых переполнений буфера, которые можно использовать для организации выполнения кода через отправку на устройство жертвы специально оформленных пакетов с полями некорректной длины. Положительным моментом является то, что NFC-стек интегрирован в ядро Linux относительно недавно и ещё не получил распространения. Для решения проблемы представлен патч, но авторы патча предупреждают, что проблема имеет системный характер и требует для своего решения более глобальной переработки кода. URL: http://www.h-online.com/open/news/item/Android-application-r... Новость: https://www.opennet.ru/opennews/art.shtml?num=34164

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Томас Шкора (Thomas Skora (https://twitter.com/#!/blubbfiction)), исследователь безопасности 
> из Германии, 
> представил (http://www.scmagazine.com.au/News/305881,android-app-steals-contactless-credit-card-data.aspx) 
> приложение для платформы Android, способное читать содержимое бесконтактных кредитных 
> карт. Для создания канала связи задействован стандартный беспроводной стек NFC (Near 
> Field Communications), используемый для обмена данными в пределах малого радиуса действия. 
> Код приложения опубликован (https://github.com/thomasskora/android-nfc-paycardreader) 
> на GitHub.

> Приложение было успешно протестировано для сбора детальной информации с кредитных карт 
> PayPass Mastercard, но также работает и с другими платёжными системами, такими 
> как GeldKarte, пользующимися популярностью в Германии. В процессе демонстрации удалось 
> считать номер карты, срок действия, информация о транзакциях, идентификаторы торговых 
> систем. По словам разработчика, создавая приложение он не преследовал злонамеренных целей, 
> а лишь попытался продемонстрировать незащищённость бесконтактных платёжных систем и способность 
> организации атаки при помощи обычного смартфона с поддержкой NFC.

> Атаки на бесконтактные кредитные карты не являются новинкой, но в данном случае 
> для организации доступа, вместо специализированных устройств, оказалось достаточно стека 
> NFC. Малый радиус действия NFC (порядка 10 см.) ограничивает условия совершения 
> атаки и не позволяет организовать сбор данных в глобальных масштабах. Тем 
> не менее, компания Google сочла приложение опасным и удалила android-nfc-paycardreader 
> из Android Market, откуда некоторое время можно было загрузить готовую сборку. 
>  После удаления, автор приложения разместил (https://github.com/thomasskora/android-nfc-paycardreader/downloads) 
>  APK пакет на стороннем сервере.

> Дополнительно можно отметить обнаружение (http://marc.info/?l=linux-kernel&m=134030878917784&w=2) 
> в NFC-стеке ядра Linux пяти удалённо эксплуатируемых переполнений буфера, которые можно 
> использовать для организации выполнения кода через отправку на устройство жертвы специально 
> оформленных пакетов с полями некорректной длины. Положительным моментом является то, что 
> NFC-стек интегрирован в ядро Linux относительно недавно и ещё не получил 
> распространения. Для решения проблемы представлен патч, но авторы патча предупреждают, 
> что проблема имеет системный характер и требует для своего решения более 
> глобальной переработки кода.

> URL: http://www.h-online.com/open/news/item/Android-application-reads-credit-card-data-over-NFC-1623802.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=34164

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру