NFC

NFC slibuje rychlost a jednoduchost. Než telefonem načtete NFC štítek, měli byste být dvakrát obezřetní

  • Odborníci varují před unáhleným skenováním NFC štítků
  • Hrozí podobné riziko jako u přelepených QR kódů
  • Měli byste ověřit, že štítek nechce vykonat žádnou podezřelou akci

Předvánoční nákupní horečka je za námi, a zkuste se sami sebe zeptat, jak často jste při nakupování používali bezkontaktní platby prostřednictvím smartphonu nebo chytrých hodinek. Tato zařízení k platbám využívají technologii NFC, která slibuje snadnou konektivitu a jednoduchost, jenže stejně snadno se tato technologie dá zneužít. Používá se pro to označení „NFC tag tampering“, a pokud si nebudete dávat pozor, může být vystaveni phshingovým útokům, malwaru nebo krádeži dat. Spouštěčem je totiž jen dotyk na displej telefonu při načtení NFC štítku.

Klepněte pro větší obrázek
I tento „nevinný“ stojánek pro sepsání hodnocení na Google, může být teoreticky cílem útoku. Útočníci mohou QR kód i NFC tag přelepit vlastními upravenými variantami

NFC je dnes daleko rozšířenější, než dříve. Používá se v marketingových kampaních, u chytré domácnosti nebo třeba ve veřejné dopravě. V případě, že jsou tyto veřejně dostupné NFC tagy ponechány v „odemknutém stavu“, mohou být útočníky upraveny tak, že přesměrují na phishingové stránky, iniciují nežádoucí akce na zařízeních nebo do telefonu rovnou stáhnout škodlivý software.

Druhou metodou útoku je kompletní nahrazení legitimních NFC tagů upravenými variantami, které na první pohled vypadají podobně, slouží však k úplně jinému účelu. Problém je zde vlastně hodně podobný jako u QR kódů. Když kódy nebo štítky načítáte ve veřejném prostoru (kavárny, obchody, plakáty, reklamy, doprava, atd.), jakou máte jistotu, že tento kód či štítek nebyl nijak upravený, nahrazený nebo přelepený?

Bezpečnostní firmy uvádějí, že největšími riziky po načtení NFC tagů jsou otevírané phishingové stránky, které chtějí ukrást osobní nebo přihlašovací údaje. Díky možné zranitelnosti v NFC čtečce u smartphonů je podle zdroje teoreticky možné načtením vykonat škodlivý kód nebo po načtení stáhnout aplikaci nebo soubory, které obsahují malware. Ve finále pak stačí jen několik ťuknutí na displeji, abyste si sami do telefonu (nedobrovolně) nainstalovali problematický software.

Jak se chránit?

Stejně jako u QR kódů platí, že byste neměli automaticky skenovat všechny NFC štítky (poznáte je podle loga NFC nebo podle ikony telefonu se slovy, které vám vybízí k tomu, ať přiložíte telefon), na které ve svém okolí narazíte. Pokud najdete NFC štítek, u něhož zvažujete načtení, měli byste se zaměřit na místo, kde se právě nacházíte, zda vám nepřijde nějak podezřelé. Pokud se jedná o billboardy nebo různé interaktivní instalace, podívejte se alespoň na zjevné známky možného vniknutí, úpravy či poškození ochranné konstrukce.

Při načtení NFC štítku byste měli důkladně ověřit URL adresu, na kterou štítek směřuje nebo akci, kterou telefon má vykonat. U smartphonů je často nutné zvolit, kterou z aplikací k dané akci použijete, a tak je poslední krok na vás. Bezpečnostní firmy sice doporučují nastavit smartphone tak, aby k dokončení akce potřeboval vaše explicitně povolení, u Androidu ani u iOS však žádné takové možnosti u nastavení NFC nenajdete. Poslední radou je samozřejmě udržovat smartphone v aktualizovaném stavu, aby byl chráněný i před nedávno zjištěnými hrozbami.

Ti, kteří používají NFC štítky, by zase naopak měli zajistit, aby byly uzamknuté, nebo v režimu „jen pro čtení“. Pro firmy, které je používají, by měla být důležitá i pravidelná kontrola NFC štítků, tj. zda mají stále takovou funkcionalitu, která jim byla dříve nastavena.

Stali jste se někdy terčem útoku upraveného NFC štítku nebo QR kódu? Podělte se o váš komentář v diskusi pod článkem.

Zdroj: Zawya

Diskuze (6) Další článek: Zabraňte doporučování nevhodných fotek, iPhone k tomu má šikovnou funkci. Ukážeme, kde ji najít

Témata článku: , , , , , , , , , Jednoduchost, Načtení, Kód, Telefon, Tag, Štítek,