Как это работает
При использовании технологии NFC достаточно коснуться карточкой или проездным приемного терминала. Соответственно, его можно даже не вынимать из портмоне, так как взаимодействие осуществляется на расстоянии до десяти сантиметров.
Физика процесса скрыта в явлении самоиндукции. Если поместить провод в электромагнитное поле, в нем начнет течь ток. Модулируя напряженность поля, мы можем увеличивать и уменьшать ток в проводе — вот и потекли нули и единички, мы передаем данные без проводов. Способ удобен тем, что принимающее устройство может не иметь источника питания. Оно будет функционировать за счет энергии переменного электромагнитного поля. Остается отметить, что для NFC-устройств установлена частота взаимодействия 13,56 мегагерц (то есть радиодиапазон), максимальная скорость передачи данных составляет 424 килобита в секунду.
NFC можно взломать
Работа технологии на небольшом расстоянии вроде бы надежно защищает деньги клиента от мошенничества. Однако возникает логичное опасение, что с помощью специальных антенн и усилителей можно перехватывать сигнал на большем расстоянии. Уже есть эксперименты по приему данных с устройств NFC на расстоянии до двух метров. Однако «Билайн» успокаивает: информация о количестве поездок хранится отдельно от информации, которой NFC-симка обменивается с терминалом. И даже если трафик будет перехвачен, для преступника он окажется бесполезен. Представитель Mastercard добавляет, что банковская карта, записанная в электронной начинке симки, столь же защищена, как и обычная. Перед отправкой информация шифруется, и перехват транзакции не дает злоумышленнику доступа к данным карты клиента. Главное, чтобы пользователь не отменил на телефоне пинкод и пароли в программе, обслуживающей банковскую карту.
Про «дырки» в программном обеспечении «Деталям мира» в эксклюзивных интервью рассказали Денис Масленников, ведущий антивирусный эксперт «Лаборатории Касперского», и Александр Санин, коммерческий директор компании Avanpost. Они в один голос заявили, что пока фактов массового мошенничества с применением технологий NFC не отмечено, но это может быть связано с ее малым распространением. При этом оба указали, что в платежной системе Google Wallet, использующей NFC для оплаты с android-телефонов, уже найдена уязвимость. Эта платежная система пока недоступна в России, так что нам важен только сам по себе факт возможности кражи средств через NFC. Как пояснил Санин, в android-смартфонах Samsung при проведении оплаты по технологии NFC в системе Google Wallet необходимо вводить четырехзначный пинкод для подтверждения авторизации. А этот самый пинкод хранится на смартфоне. Получив к нему доступ и расшифровку, мы получим реальную возможность компрометации транзакции». Взломать пинкод можно простым перебором десяти тысяч вариантов.
Впрочем, можно и не перебирать пароли, считает Денис Масленников: «Есть и другой метод, дающий доступ к чужому кошельку на найденном или украденном телефоне. Уязвимость была найдена в самом приложении Google Wallet. Если зайти в меню свойств и приложений и удалить все данные, относящиеся к Google Wallet, то при следующем запуске программы Google Wallet попросит установить новый пинкод, не требуя ввести старый».
Обе уязвимости, скорее всего, в следующих обновлениях исчезнут. Но в целом не стоит считать, что NFC позволит забыть о кибермошенниках.
Александр Баулин
Было время, причем совсем недавно, когда информационной безопасностью (ИБ) занимался только узкий круг специалистов, настоящая каста. Теперь всё это в прошлом. Две силы «взломали» эту ситуацию, казавшуюся совершенно незыблемой. Это госрегулирование российского рынка ИБ и киберпреступность, переключившаяся на российские компании.
Недавно выявленный вирус-шпион Flame произвел фурор. Главной его мишенью стал Иран, хотя поражены оказались и несколько других ближневосточных стран. Ранее специалисты считали самыми грозными программами Stuxnet и Duqu. Stuxnet значительно затормозила ядерную программу Ирана, выведя из строя около 1000 из 5000 центрифуг на АЭС в Бушере.