Назад в будущее

топ 100 блогов metroelf19.12.2014 Попал я тут по приглашению в Лабораторию Касперского на подведение итогов года. Я вам всё потом обязательно расскажу и покажу, было очень много интересного и любопытного, но сейчас, разбирая материалы, наткнулся на знакомую аббревиатуру NFC и тут же полез по ссылкам. Для тех кто не в курсе, то NFC это:
Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров.[1]; анонсирована в 2004 г.
Эта технология — простое расширение стандарта бесконтактных карт (ISO 14443), которая объединяет интерфейс смарт-карты и считывателя в единое устройство. Устройство NFC может поддерживать связь и с существующими смарт-картами, и со считывателями стандарта ISO 14443, и с другими устройствами NFC, и, таким образом, — совместимо с существующей инфраструктурой бесконтактных карт, уже использующейся в общественном транспорте и платежных системах. NFC нацелена прежде всего на использование в мобильных телефонах и планшетах. (Википедиа)

Так вот, к чему это я? Идут постоянные споры, что в московском метро ну просто необходима эта технология. Нет, ну удобно же, приложил телефон - сумма за поездку списалась. И не нужны проездные, карточки, очереди уходят в прошлое и наступает всеобщее благолепие. Или не наступает.
Читаем?
"Tarjeta BIP!" – это система электронных платежей, которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи встроенного в смартфон NFC-модуля. В мире уже реализовано множество проектов, позволяющих оплачивать проезд в общественном транспорте при помощи этой бесконтактной технологии. Она уже стала трендом, а значит, может заинтересовать и киберпреступников. Более того, уже заинтересовала.
Все больше людей обсуждают преимущества платежей посредством NFC. Проблема в данном случае заключается в том, что кто-то взломал технологию карт Tarjeta BIP! и нашёл способ пополнять их бесплатно. 16-го октября появился первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо, что примерно соответствует 17 долларам США.

 Назад в будущее

Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось, что с его помощью действительно можно пополнять транспортные карты. Всё, что для этого нужно – установить приложение на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку "Cargar 10k", что означает "пополнить карту на 10000 [чилийских песо]".
Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: android.hardware.nfc

У приложения есть четыре основные функции: "número BIP" – получить номер карты, "saldo BIP" – узнать баланс на карте, "Data carga" – пополнить баланс и, пожалуй, самое интересное – "cambiar número BIP" – изменить номер карты. Почему последняя функция показалась нам самой интересной? Согласно некоторым источникам, власти планировали блокировать BIP-карты, пополненные незаконным образом. Однако же, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной.
Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается уже по сути новое приложение. Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick.
Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, они детектируются продуктами "Лаборатории Касперского" как HEUR:HackTool.AndroidOS.Stip.a.
Поскольку приложение сейчас очень популярно, и многие чилийцы скачивают и пользуются им, можно ожидать, что вскоре появятся киберпреступники, которое создадут содержащие троянцев подделки под него, чтобы заражать мобильные устройства пользователей и наживаться на этом.

В то же время важно сказать, что мобильные платежи становятся всё более и более популярны, и NFC – это одна из наиболее многообещающих технологий в этой сфере. А вышеперечисленное – хороший пример того, как появление новых платежных схем обнажает старые проблемы.

Спасибо Роману Унучеку за его аналитические идеи.

Дмитрий Бестужев @dimitribest
http://securelist.ru/

Спасибо Лаборатории Касперского за предоставленные материалы


Оставить комментарий

Предыдущие записи блогера :
17.12.2014 Спасибо
13.12.2014 Ежи
12.12.2014 Текст
Архив записей в блогах:
Мурманск самый оптимистичный город, точнее, когда возвращаешься из него, то начинаешь ценить место, где ты живешь. Понимаешь, что есть места намного хуже, одно это уже радует. Пост правильнее было бы назвать вокруг Мурманска, потому что мы кружили вокруг него, снимая со стороны. Честно при ...
Эта тема содержит отвратительные пошлые фото и видео, нецензурную лексику и прочий пиздец. Не открывайте её, не читайте и не репостьте, ибо это не о политике. Куклоёбство или дрочильные автоматы. Обзор рынка. Для начала давайте глянем, что нам предлагает рынок сегодняшнего дня. ...
Вчера у n_dank вчера прочитала пост про  немецкие традиционные часы с кукушкой (ссылка на него будет ниже) и вспомнила, что у меня есть на эту тему интересная открытка, и даже не одна. Возможно, что я ее как-то показывала среди прочих, но стоит показать ее отдельно, в тему ...
Постепенно мне стало понятно, что музыка - не просто одно из искусств, в длинном перечне наряду с созданием кукольных домиков и рисованием. Была длиннейшая эпоха текстов - и искусство под названием "литература" - лишь небольшая часть огромного ...
Довольно редкий кадр - немецкие истребители танков Elefant в ходе боевых действий в городских условиях, зима-весна 1944 года. Скорее всего, снято было в ходе боев в районе Тернополя, к тому моменту их уже модернизировали до уровня Elefant. Изучение Ferdinand в СССР: ...