文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Drive-By NFC是如何工作的?

2024-12-01 17:51

关注

审校 | 孙淑娟

不知您是否注意到自己的智能手机上有一项名为NFC的功能。这是手机上一种十分常见的功能。它可以协助您通过Android、iOS或其他设备,实现非接触式的数据传输,尤其是支付。不过,您是否考虑过其可能存在的安全风险呢?下面,我将和您一同探讨NFC的基本原理,以及Drive-By NFC的相关安全性问题与处置对策。

1.什么是NFC? 

NFC是Near-Field Communication(近场通信)的首字母缩写,是在物理上相近的设备之间相互通信的一种方式。由于NFC通常只能在几厘米的范围内工作,因此若要使用它,您需要将待通信的两个设备靠得比较近。智能手机是NFC的典型应用场景。您可以使用基于电话(phone-based)的支付系统,通过手机上的NFC标签,去支付一杯咖啡的费用。

2.什么是RFID?

您可能也听说过另一种与NFC类似的技术--RFID。它是Radio Frequency Identification(射频识别的)首字母缩写,是一个由小型无线电转发器、接收器、以及发射器组成的系统。当然,您也可能看到过与之相关的标签、读取器件、以及天线等。从零售商店的服装标签到各个建筑物和办公室的门禁卡,该技术得到了广泛的使用。同时,它也能够被用于区分宠物、或监控进出停车场的车辆。此外,RFID的另一个典型使用场景是,在公共交通工具上使用的预付卡。您不难在非接触式卡片中找到RFID芯片。不过,由于RFID并不使用加密技术,因此它并不安全。如今,市场上充斥着各种针对支持钱包或卡片予以“RFID屏蔽”的大肆宣传。诸如RFID skimmers之类的工具,便可以让黑客从附近的物体(如卡片)中,读取RFID数据,进而窃取用户敏感的信息。

3.NFC和RFID的关系 

其实,上面提到的NFC是RFID的一个子类型,它会更加安全一些。NFC使用加密技术,来保证数据的安全。我们日常使用到的各种手机付款的应用程序(如Apple Pay)就使用的是NFC。同时,诸如ArmourCard之类的公司,已经创建出了使用NFC技术的ArmourCELL系列产品,将NFC芯片变成信号干扰器(jammer)来保护用户的数据。

4.NFC也并不是绝对安全的 

尽管NFC比其他类型的RFID更为安全一些,但是它仍然存在着缺陷,毕竟在设计之初,人们考虑得更多的是连接的便利性,而非安全性。就NFC协议本身而言,距离近是有效传输的必需条件。也就是说,只有某个支持NFC的发射设备(如:手机)与支持NFC的读取器(如:另一部手机)在足够近的范围内相互触碰、轻敲或滑动时,连接就算是有效了。当然,您也许注意到了,上面提到的动作中并没有密码或信任凭据的输入。NFC的连接是自动建立的,根本不需要像Wi-Fi那样,需要额外地输入任何登录名或密码。这是NFC协议的缺陷,而且会引发一个实际问题:任何人只要离您的设备足够近,无论是恶意触碰,还是合理触碰(例如使用Google Wallet进行付款时),都可以迅速地与您建立NFC连接,进而导致NFC黑客攻击的得逞。

5.黑客如何实现NFC攻击? 

如前文所述,基于便利性连接的NFC在触碰过程中,可能会将病毒、恶意软件、以及其他恶意文件从一台设备上传并转移到被触碰的设备上。而如果被触碰设备的NFC在配置上不够安全的话,该设备上的文件就会被自动打开甚至截获。这就像您的计算机被自动打开了浏览器,并从互联网上下载了任意文件,进而通过自动化的点击,让其自动安装恶意软件一样。一旦此类恶意应用程序在后台运行,您的手机会将银行PIN码、信用卡号码、以及密钥口令等敏感信息,自动转发给世界上某个隐蔽角落的未授权获取的黑客。与此同时,不明的病毒也可能会进一步通过设备上的其他漏洞,让恶意用户获取设备上的完全权限,以读取您的电子邮件、文本、照片、以及第三方应用所持有的数据。在获取了敏感信息后,如果NFC标签被隐藏在手机可能被触碰到,而又不太显眼的地方,NFC的数据传输就可以在用户不知情的状态下进行。例如:黑客组织Wall of Sheep就曾用带有NFC标签的各种海报和按钮,证明了此类传输的隐蔽性。此外,虽然NFC标签的工作范围通常不超过几厘米,但是有研究证明,即使在30到40米的距离内,您仍可能遭受NFC黑客攻击。业界管这种情况叫做“窃听(eavesdropping)”。

6.NFC可以被用来进行ATM黑客攻击吗? 

近年来,NFC黑客已经变得更加高级,黑客甚至可以通过非接触的方式,向某些ATM挥动Android手机,实现入侵ATM的目的,并使之吐出钱来。此类技术往往被称为jackpotting攻击。过去黑客为了达到此类目的,不得不通过USB端口、甚至在机器上开洞,以进入其内部,并安装恶意软件。如今,他们只需将手机靠近那些具有某些编程与安全漏洞的特定ATM,即可实现类似破解NFC卡的效果。

7.如何保护自己免受Drive-By NFC攻击 

如今,随着应用场景的升级与迭代,非接触式支付已经成为了主流,我们有必要从如下方面入手,来提升NFC的安全性。

8.小结 

综上所述,由于NFC缺乏密码保护等安全机制,因此黑客可以通过Drive-By NFC的方式,获取目标设备上的敏感数据,而这往往是在神不知鬼不觉的情况下发生的。因此,我们需要做好相应的防范措施。

原文链接:https://www.makeuseof.com/tag/drive-nfc-hack-work/

译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。

来源:51CTO技术栈内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯