Cuidado con los pagos inalámbricos a través del móvil - NFC

gneis bankinter fundacion innovacion bankinter
default

14.08.2012

Escrito por:


Durante esta época del año se producen diversos congresos de gran renombre de expertos prácticos en Seguridad Informática (comúnmente conocidos como "hackers éticos"). Una de las más conocidas en este entorno es la conferencia "Black Hat", que se ha producido en Las Vegas del 21 al 26 de julio.

El investigador, Charlie Miller, ha demostrado en la conferencia de seguridad Black Hat que cualquier «hacker» puede tomar el control de los «smartphones» fabricados por Samsung y Nokia, gracias a la vulnerabilidad de la tecnología Near Field Communication (NFC), un intercambio de datos de forma inalámbrica a través del cual es posible, entre otros, el pago con el teléfono móvil.

Solamente con que el hacker en cuestión esté cerca de un «smartphone» con NFC, ya puede producirse el ataque que hará que éste se apropie de forma electrónica del teléfono que ha recibido el ataque. El ataque funciona poniendo el teléfono a pocos centímetros de distancia de un chip (de un cuarto de tamaño) o situándolo de tal manera que toque con otro dispositivo NFC.

Miller mostró cómo el código del chip (controlado por el atacante) se transferirá al teléfono de destino, pudiendo dirigir el teléfono móvil a visitar un sitio web malicioso. Además fue capaz de descargar al dispositivo programas malignos que, aprovechándose de la vulnerabilidad en el navegador, en el lector de documentos, o incluso en el sistema operativo del teléfono móvil, podrían dar al atacante la posibilidad de leer las cookies que almacena el navegador y ver las páginas que ha visitado, incluso llegar a tomar el control del teléfono. Y todo ello sin necesidad de interacción del usuario del teléfono móvil.

Miller, principal consultor de investigación de la compañía de seguridad Accuvant, ha pasado los últimos cinco años demostrando los fallos o defectos que permiten a los piratas informáticos tomar el control de Macs, iPhones, y «smartphones» de Android. Durante la conferencia de seguridad en Las Vegas Black Hat de este año él ha centrado su atención en las capacidades del NFC de tres populares dispositivos móviles: el Nexus S y el Galaxy Nexus de Samsung y el Nokia N9. En el caso del Nexus S, en el momento en que funcionaba con Gingerbread (Android 2.3), fue vulnerado por Miller usando nada más que una etiqueta específicamente diseñada para tomar el control de la aplicación que controla las funciones de NFC. Además, Charlie Miller también dijo que la etiqueta podría ser modificada para ejecutar código malicioso en el dispositivo.

Ahora, en la última versión de Android, IceCream Sandwich (4.0) parece que algunos de estos fallos de seguridad han sido solucionados pero no todos. La inseguridad de los teléfonos inteligentes con tecnología NFC es tal que, cualquiera podría introducirse en el navegador web del «smartphones» de un usuario y controlarlo sin restricciones. 

Miller lo explicaba refiriéndose a los usuarios diciendo: «Lo que esto significa es que con una etiqueta NFC, si yo toco tu teléfono, o estoy lo suficientemente cerca, tu navegador web, sin que tú hagas nada, lo abrirá e irá a la página que yo le diga». La funcionalidad que, por el momento, tienen las etiquetas NFC es la misma que cuando se escanean códigos QR, pero de forma más sencilla, ya que sólo hay que acercar el móvil la etiqueta para que la lea.

Como conclusión se llega a que cualquier sistema que pueda iniciar contacto con el mundo exterior sin pedir antes confirmación al usuario, es susceptible de ser hackeado.

Tengan cuidado ahí fuera.

Fotografía de  Esther Gibbons | Flickr

 

BK-167x150_cuentanomina.jpg

¡NUEVO CANAL EN TELEGRAM! Suscríbete ya y recibe en tu móvil noticias y consejos para mejorar tus finanzas.

Suscribirse

Introduzca su correo electrónico para suscribirse.

Introduzca un correo electrónico válido para suscribirse
Por favor, seleccione resumen diario o semanal
simpleCaptcha
Rellena el captcha correctamente
Por favor escribe las letras de la imagen superior.
Debe aceptar la Cláusula de Protección de Datos