Макс Рублёв (metroelf) wrote,
Макс Рублёв
metroelf

Categories:

Назад в будущее

Попал я тут по приглашению в Лабораторию Касперского на подведение итогов года. Я вам всё потом обязательно расскажу и покажу, было очень много интересного и любопытного, но сейчас, разбирая материалы, наткнулся на знакомую аббревиатуру NFC и тут же полез по ссылкам. Для тех кто не в курсе, то NFC это:
Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров.[1]; анонсирована в 2004 г.
Эта технология — простое расширение стандарта бесконтактных карт (ISO 14443), которая объединяет интерфейс смарт-карты и считывателя в единое устройство. Устройство NFC может поддерживать связь и с существующими смарт-картами, и со считывателями стандарта ISO 14443, и с другими устройствами NFC, и, таким образом, — совместимо с существующей инфраструктурой бесконтактных карт, уже использующейся в общественном транспорте и платежных системах. NFC нацелена прежде всего на использование в мобильных телефонах и планшетах. (Википедиа)

Так вот, к чему это я? Идут постоянные споры, что в московском метро ну просто необходима эта технология. Нет, ну удобно же, приложил телефон - сумма за поездку списалась. И не нужны проездные, карточки, очереди уходят в прошлое и наступает всеобщее благолепие. Или не наступает.
Читаем?
"Tarjeta BIP!" – это система электронных платежей, которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи встроенного в смартфон NFC-модуля. В мире уже реализовано множество проектов, позволяющих оплачивать проезд в общественном транспорте при помощи этой бесконтактной технологии. Она уже стала трендом, а значит, может заинтересовать и киберпреступников. Более того, уже заинтересовала.
Все больше людей обсуждают преимущества платежей посредством NFC. Проблема в данном случае заключается в том, что кто-то взломал технологию карт Tarjeta BIP! и нашёл способ пополнять их бесплатно. 16-го октября появился первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо, что примерно соответствует 17 долларам США.



Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось, что с его помощью действительно можно пополнять транспортные карты. Всё, что для этого нужно – установить приложение на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку "Cargar 10k", что означает "пополнить карту на 10000 [чилийских песо]".
Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: android.hardware.nfc

У приложения есть четыре основные функции: "número BIP" – получить номер карты, "saldo BIP" – узнать баланс на карте, "Data carga" – пополнить баланс и, пожалуй, самое интересное – "cambiar número BIP" – изменить номер карты. Почему последняя функция показалась нам самой интересной? Согласно некоторым источникам, власти планировали блокировать BIP-карты, пополненные незаконным образом. Однако же, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной.
Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается уже по сути новое приложение. Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick.
Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, они детектируются продуктами "Лаборатории Касперского" как HEUR:HackTool.AndroidOS.Stip.a.
Поскольку приложение сейчас очень популярно, и многие чилийцы скачивают и пользуются им, можно ожидать, что вскоре появятся киберпреступники, которое создадут содержащие троянцев подделки под него, чтобы заражать мобильные устройства пользователей и наживаться на этом.

В то же время важно сказать, что мобильные платежи становятся всё более и более популярны, и NFC – это одна из наиболее многообещающих технологий в этой сфере. А вышеперечисленное – хороший пример того, как появление новых платежных схем обнажает старые проблемы.

Спасибо Роману Унучеку за его аналитические идеи.

Дмитрий Бестужев @dimitribest
http://securelist.ru/

Спасибо Лаборатории Касперского за предоставленные материалы


Subscribe

  • Клабхаус? Простите, но Телега лучше.

    Пока продвинутые пользователи грызут яблоки и общаются в клабхаусе, нищеброды, вроде меня, пользуют телегу и болтают там. Я, на волне хайпа, хотел…

  • 1 апреля от Мосметро

    Кто не верит — пруф на пост с верифицированной страницы ВК Мосметро

  • Яндекс

    Буквально все новости были засыпаны «Яндекс поменял логотип». И как-то вспоминая «сервисы» этой компании («яндекс-такси — мы не за что не…

promo metroelf february 26, 2013 23:11 22
Buy for 300 tokens
Ну вот, "расчехлили" вы свой смарт, поставили другую "камеру" из магазина, взамен дефолтной, а кнопка "шедевр" так и не появилась. Правильно, и не появится. Дабы получить неплохое фото надо учиться, учиться и учится. Вот и учусь. Итак.. 1) Камера в телефоне это даже не мыльница, да она и не должна…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 23 comments

  • Клабхаус? Простите, но Телега лучше.

    Пока продвинутые пользователи грызут яблоки и общаются в клабхаусе, нищеброды, вроде меня, пользуют телегу и болтают там. Я, на волне хайпа, хотел…

  • 1 апреля от Мосметро

    Кто не верит — пруф на пост с верифицированной страницы ВК Мосметро

  • Яндекс

    Буквально все новости были засыпаны «Яндекс поменял логотип». И как-то вспоминая «сервисы» этой компании («яндекс-такси — мы не за что не…