X

Android: Sicherheitslücken in NFC-Implementierung

Der Sicherheitsexperte Charlie Miller hat eine Reihe von Schwachstellen in der NFC-Implementierung bei den mobilen Betriebssystemen Android und MeeGo nachgewiesen, die von Kriminellen zum Betrug von unbedarften Smartphone-Nutzern beim Bezahlen mit dem Telefon ausgenutzt werden könnten.
Public Domain
26.07.2012  15:40 Uhr
Miller hat ein NFC-Tag entwickelt, das in der Lage ist, Schadcode auf einem Smartphone auszuführen. Das Tag ließe sich seinen Angaben zufolge an einem Verkaufspunkt wie etwa einer Kasse oder an anderen öffentlichen Orten platzieren, um die Kunden zu betrügen, wenn diese versuchen, eine Zahlung mittels NFC vorzunehmen, erklärte er gegenüber 'Ars Technica'. Die Sicherheitslücken, die dies ermöglichen, betreffen nicht das weiterhin sichere NFC-Protokoll, sondern die Software-Implementierung bei Google Android und MeeGo Linux. So sieht die Spezifikation der Beam-Funktion, die bei Android die Verwendung von NFC ermöglicht, die Möglichkeit zum automatischen Starten des Web-Browsers beim Kontakt mit einem NFC-Tag vor. Dadurch sollen sich laut Miller diverse Web-basierte Exploits umsetzen lassen, die über den Browser ausgeführt werden könnten.

Zwar wurden viele Bugs im Webkit-basierten Standard-Browser von Android in den jüngsten Versionen 4.0 und 4.1 bereits geschlossen, doch auch bei ihnen gibt es noch immer eine Reihe von schwerwiegenden Lücken, die von Angreifern ausgenutzt werden könnten. Bei älteren Versionen wie dem noch immer weit verbreiteten Android 2.3 ist die Gefährdung hingegen sogar unabhängig vom Browser sehr hoch, heißt es.

So konnte Miller bei Android 2.3 nicht nur den Browser starten, sondern auch einen Application-Daemon, der NFC-Funktionen steuert "hi-jacken". Es gibt allerdings nur wenige NFC-fähige Geräte, auf denen das alte Android läuft, so dass das allgemeine Gefährdungsrisiko in der Realität recht gering sein dürfte. Der Experte führte seine Tests unter anderem mit einem Nexus S Smartphone mit Android 2.3 (Update auf 4.0 schließt Lücken) und einem Galaxy Nexus mit Android 4.0 durch.

Generell warnt er davor, dass NFC es Angreifern leichter machen könnte, ihren Code auf die Geräte der Anwender zu schmuggeln. Miller verwies unter anderem auf PDF-Bugs, die bei Attacken ausgenutzt werden könnten, wenn der Nutzer mit seinem Smartphone oder Tablet eigentlich eine Zahlung per NFC vornehmen will. Eine einfache Gegenmaßnahme zum Schutz der Anwender wäre eine simple Abfrage, ob der Anwender beim Kontakt mit einem NFC-Tag wirklich den Browser oder eine andere Anwendung auf seinem Endgerät starten möchte.
Verwandte Themen
Android
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture