De Black Hat-conferentie vindt deze week plaats in Las Vegas, waar hackers, beveiligingsexperts en vertegenwoordigers van grote bedrijven samenkomen om alle dingen met betrekking tot informatiebeveiliging te bespreken. Als u vandaag het nieuws van de conferentie volgt, bent u mogelijk meldingen tegengekomen van een nieuw beveiligingsprobleem in Android (en NFC-compatibele Meego-telefoons) waardoor een schadelijke NFC-tag (near-field communication) malware zou kunnen uitstralen rechtstreeks op uw telefoon. Klinkt angstaanjagend, toch? Nu kunnen hackers uw smartphone overnemen zonder dat u iets doet. Maar zoals altijd het geval is met dit soort beveiligingsproblemen, is het niet zo eenvoudig als het lijkt. En deze 'hack' van NFC, sexy en technisch indrukwekkend als het is, is niet echt iets bijzonders voor gewone smartphonegebruikers.
Lees verder om erachter te komen waarom.
Allereerst moeten we snel uitleggen wat NFC eigenlijk is. Het staat voor near-field communicatie en het is een draadloze communicatietechnologie op zeer korte afstand, ontworpen voor het direct verzenden van kleine hoeveelheden gegevens over zeer korte afstanden. Op smartphones kan dit worden gebruikt om dingen zoals URL's van de ene handset naar de andere over te dragen, of als alternatief om NFC-tags te scannen, die zelf kleine hoeveelheden gegevens kunnen bevatten waarop de telefoon vervolgens kan reageren. Het kan ook worden gebruikt om betalingen te vergemakkelijken, bijvoorbeeld via Google Wallet. (in onze Android AZ)
Meerdere bronnen melden dat beveiligingsonderzoeker Charlie Miller deze week verschillende technieken demonstreerde voor het hacken van de Nexus S (op Gingerbread), de Galaxy Nexus (op Ice Cream Sandwich) en de Meego-aangedreven Nokia N9 bij Black Hat. Veel van de engste exploits werden gevonden op de N9, maar we zullen ons hier op Android concentreren, want dat is wat we doen. (En dat is ook waar veel van de krantenkoppen van vandaag de aandacht op richten.)
Beginnend bij het high-end, op de Galaxy Nexus Miller heeft aangetoond dat NFC-compatibele Android-telefoons met Ice Cream Sandwich of later Android Beam gebruiken, een functie die sommige (maar niet alle) standaard hebben ingeschakeld. Met Beam kunnen gebruikers onder meer URL's van een andere telefoon of NFC-tag rechtstreeks in de webbrowser van het apparaat laden. Dat betekent dat het mogelijk is om met een kwaadwillende NFC-tag een bescheiden gebruiker rechtstreeks naar een kwaadwillende webpagina te sturen. Om dat te laten werken, moet de tag zich echter binnen het zeer korte bereik bevinden waarop NFC-radio's kunnen werken - in principe alles behalve de achterkant van het apparaat. Android Beam opent automatisch getagde URL's zonder enige prompt. Het is een geldige beveiligingskwestie, maar geen misbruik in de traditionele zin, want om iets te doen moet je een kwetsbaarheid vinden in de webbrowser van je keuze.
Als u de ingebouwde Android-browser op Android 4.0.1 gebruikt, bestaat er een dergelijke bug en kan een speciaal ontworpen webpagina code op het apparaat uitvoeren. Nogmaals, een volledig geldig beveiligingsprobleem, maar het gebruik van NFC als een bezorgmethode voor dit soort exploit is verre van praktisch. Om nog maar te zwijgen van Android 4.0.1 werd alleen uitgebracht op de Galaxy Nexus, een telefoon die sindsdien is bijgewerkt naar Android 4.0.4 of 4.1.1, afhankelijk van je provider.
Miller demonstreerde ook hoe hij bugs in het geheugenbeheer van Android 2.3 kon misbruiken om een Gingerbread-apparaat met NFC-ondersteuning code te laten uitvoeren met behulp van een kwaadaardige tag. Dat geeft een aanvaller mogelijk de mogelijkheid om volledige controle over het apparaat te nemen met alleen een NFC-tag, maar we moeten wijzen op een paar factoren die dit een minder ernstig probleem maken dat u misschien denkt. Natuurlijk is Android 2.3 Gingerbread nog steeds de meest gebruikte versie van Android en veel nieuwe Android-apparaten worden geleverd met NFC-ondersteuning, maar er is weinig kruising tussen de twee. De Nexus S was de eerste Android-handset die NFC ondersteunde, maar dat is sindsdien bijgewerkt naar Jelly Bean. Andere NFC-ondersteunende apparaten die worden geleverd op 2.3, maar de meeste reguliere Android-telefoons met NFC hebben ten minste versie 4.0.3, wat niet kwetsbaar is voor de exploits die in deze demo worden gebruikt. We kunnen zelfs geen enkele Gingerbread-telefoon met NFC bedenken die nog moet worden bijgewerkt naar ten minste Android 4.0.3.
Dus kwetsbaarheden bestaan zeker, maar op dit moment zijn de enige ernstige beperkt tot een zeer kleine subset van de Android-populatie met NFC, en een zeer specifieke OS-versie. Bovendien moet de telefoon zijn ingeschakeld, moet de NFC-radio zijn ingeschakeld en moet de gebruiker voldoende worden afgeleid om de veelbetekenende NFC-toon of -trilling niet op te merken.
Uiteindelijk zal elke exploit met fysieke toegang tot het gehackte apparaat van beperkt nut zijn voor de echte slechteriken. De controle over een smartphone over NFC in de echte wereld zal gevaarlijk en onpraktisch zijn voor potentiële perps, zelfs nadat de methoden die bij Black Hat worden getoond worden gepubliceerd. Als ik gedurende langere tijd toegang heb tot uw telefoon, ingeschakeld met kwaadaardige bedoelingen, zal NFC niet mijn eerste aanspreekpunt zijn. De exploits die Charlie Miller deze week heeft gedemonstreerd, zijn ingenieus en onmiskenbaar cool om over te lezen. Maar het is gemakkelijk om het echte gevaar dat ze opleveren te overdrijven, vooral wanneer de reguliere rapportage van deze hacks weinig belangrijke technische details bevat.
Bottom line - als u NFC op uw Android-telefoon van tijd tot tijd gebruikt, kunt u dat gewoon blijven doen.
Meer: Arc Technica
