ब्लैक हैट कॉन्फ्रेंस इसी सप्ताह लास वेगास में हुई, जहां हैकर्स, सुरक्षा विशेषज्ञ और प्रमुख कंपनियों के प्रतिनिधि सूचना सुरक्षा से संबंधित सभी चीजों पर चर्चा करने के लिए मिलते हैं। यदि आप आज सम्मेलन से बाहर के समाचारों का अनुसरण कर रहे हैं, तो आप Android (और NFC- सक्षम Meego फोन) में एक नई सुरक्षा भेद्यता की रिपोर्ट भर में आ सकते हैं, जो बीम मैलवेयर के लिए एक दुर्भावनापूर्ण NFC (निकट-क्षेत्र संचार) टैग की अनुमति दे सकता है सीधे अपने फोन पर। भयानक लगता है, है ना? अब हैकर्स आपके स्मार्टफोन को आपके बिना भी ले जा सकते हैं। लेकिन जैसा कि इस प्रकार के सुरक्षा मुद्दों में हमेशा होता है, यह उतना सरल नहीं है जितना लगता है। और यह एनएफसी 'हैक, ' सेक्सी और तकनीकी रूप से प्रभावशाली है, यह वास्तव में नियमित रूप से स्मार्टफोन उपयोगकर्ताओं के लिए विशेष रूप से डरावना कुछ भी नहीं है।
कारण जानने के लिए आगे पढ़ें।
सबसे पहले, हमें जल्दी से यह बताना चाहिए कि वास्तव में एनएफसी क्या है। यह निकट क्षेत्र के संचार के लिए खड़ा है, और यह बहुत ही कम दूरी पर तुरंत कम मात्रा में डेटा भेजने के लिए डिज़ाइन की गई एक बहुत ही कम दूरी की वायरलेस संचार तकनीक है। स्मार्टफ़ोन पर, इसका उपयोग URL से एक हैंडसेट से दूसरे हैंडसेट में स्थानांतरित करने के लिए किया जा सकता है, या वैकल्पिक रूप से NFC को "टैग" स्कैन करने के लिए किया जा सकता है, जिसमें स्वयं कम मात्रा में डेटा हो सकता है जिसे फ़ोन तब कार्य कर सकता है। इसका उपयोग भुगतान की सुविधा के लिए भी किया जा सकता है, उदाहरण के लिए Google वॉलेट के माध्यम से। (हमारे Android AZ में)
एकाधिक स्रोतों की रिपोर्ट है कि सुरक्षा शोधकर्ता चार्ली मिलर ने नेक्सस एस (जिंजरब्रेड पर), गैलेक्सी नेक्सस (आइसक्रीम सैंडविच पर) और इस सप्ताह ब्लैक हैट में मीगो-संचालित नोकिया एन 9 में हैकिंग के लिए कई तकनीकों का प्रदर्शन किया। N9 पर कई डरावने कारनामे पाए गए, लेकिन हम यहां Android पर ध्यान केंद्रित करेंगे, 'यही कारण है कि हम क्या करते हैं। (और यह भी कि आज की सुर्खियों में से कितने पर ध्यान केंद्रित करते हैं।)
गैलेक्सी नेक्सस मिलर पर उच्च अंत से शुरू, एनएफसी-सक्षम एंड्रॉइड फोन जो आइसक्रीम सैंडविच चला रहे थे या बाद में एंड्रॉइड बीम का उपयोग करते हैं, एक सुविधा जो कुछ (लेकिन सभी नहीं) डिफ़ॉल्ट रूप से चालू हो गई है। अन्य चीजों के बीच, बीम उपयोगकर्ता को किसी अन्य फोन या एनएफसी टैग से सीधे डिवाइस के वेब ब्राउज़र में URL लोड करने देता है। इसका अर्थ है कि दुर्भावनापूर्ण NFC टैग के साथ, दुर्भावनापूर्ण उपयोगकर्ता को सीधे दुर्भावनापूर्ण वेब पेज पर भेजना संभव है। हालांकि, काम करने के लिए, टैग को बहुत कम सीमा के भीतर होना चाहिए, जिस पर एनएफसी रेडियो काम कर सकता है - मूल रूप से सभी लेकिन डिवाइस के पीछे के हिस्से को छूते हुए। एंड्रॉइड बीम डिजाइन द्वारा, बिना किसी संकेत के स्वचालित रूप से टैग किए गए URL खोलता है। यह एक वैध सुरक्षा चिंता है, लेकिन पारंपरिक अर्थों में शोषण नहीं है, जैसा कि कुछ भी करने के लिए आपको उपयोगकर्ता के पसंद के वेब ब्राउज़र में भेद्यता खोजने की आवश्यकता है।
यदि आप एंड्रॉइड 4.0.1 पर अंतर्निहित एंड्रॉइड ब्राउज़र का उपयोग कर रहे हैं, तो ऐसा बग मौजूद है, और जो डिवाइस पर विशेष रूप से डिज़ाइन किए गए वेब पेज को कोड चलाने की अनुमति दे सकता है। फिर से, एक पूरी तरह से वैध सुरक्षा मुद्दा है, लेकिन इस तरह के शोषण के लिए डिलीवरी पद्धति के रूप में एनएफसी का उपयोग करना व्यावहारिक से बहुत दूर है। एंड्रॉइड 4.0.1 का उल्लेख नहीं करना केवल गैलेक्सी नेक्सस पर जारी किया गया था, एक फोन जो आपके वाहक के आधार पर एंड्रॉइड 4.0.4 या 4.1.1 में अपडेट किया गया है।
मिलर ने यह भी प्रदर्शित किया कि दुर्भावनापूर्ण टैग का उपयोग करके कोड को निष्पादित करने के लिए एनएफसी समर्थन के साथ जिंजरब्रेड डिवाइस के कारण एंड्रॉइड 2.3 के मेमोरी प्रबंधन में वह बग का कैसे फायदा उठा सकता है। यह संभावित रूप से एक हमलावर को केवल एनएफसी टैग का उपयोग करके डिवाइस का पूर्ण नियंत्रण लेने की क्षमता देता है, लेकिन हमें कुछ कारकों को इंगित करना चाहिए जो इसे कम गंभीर मुद्दा बनाते हैं जो आप सोच सकते हैं। ज़रूर, एंड्रॉइड 2.3 जिंजरब्रेड अभी भी एंड्रॉइड का सबसे अधिक उपयोग किया जाने वाला संस्करण है, और कई नए एंड्रॉइड डिवाइस एनएफसी समर्थन के साथ जहाज करते हैं, लेकिन दोनों के बीच थोड़ा क्रॉस-ओवर है। Nexus S, NFC को सपोर्ट करने वाला पहला एंड्रॉइड हैंडसेट था, लेकिन इसके बाद से इसे जेली बीन को अपडेट किया गया है। 2.3 पर शिप किए गए अन्य एनएफसी-सपोर्ट करने वाले डिवाइस, लेकिन एनएफसी वाले अधिकांश मुख्यधारा के एंड्रॉइड फोन कम से कम संस्करण 4.0.3 पर चलते हैं, जो इस डेमो में उपयोग किए गए कारनामों के लिए असुरक्षित नहीं है। वास्तव में, हम एनएफसी के साथ एक भी जिंजरब्रेड फोन के बारे में नहीं सोच सकते हैं जिसे अभी तक कम से कम एंड्रॉइड 4.0.3 पर अपडेट किया जाना है।
इसलिए भेद्यता निश्चित रूप से मौजूद है, लेकिन अभी केवल गंभीर ही एनएफसी के साथ एंड्रॉइड आबादी के बहुत छोटे उपसमूह तक सीमित हैं, और एक बहुत ही विशिष्ट ओएस संस्करण है। क्या अधिक है, फोन को चालू करने की आवश्यकता है, एनएफसी रेडियो को सक्षम करने की आवश्यकता है, और उपयोगकर्ता को पर्याप्त रूप से विचलित करने की आवश्यकता है ताकि टेल-कथा एनएफसी टोन या कंपन को नोटिस न करें।
अंततः, हैक किए जा रहे डिवाइस तक शारीरिक पहुंच से जुड़े किसी भी तरह का शोषण वास्तविक बुरे लोगों के लिए सीमित उपयोग होने वाला है। वास्तविक दुनिया में एनएफसी पर एक स्मार्टफोन का नियंत्रण लेना खतरनाक और अव्यवहारिक होने जा रहा है, भले ही ब्लैक हैट में दिखाए गए तरीकों को प्रचारित किया गया हो। अगर मेरे पास आपके फोन तक पहुंच है, तो एक विस्तारित अवधि के लिए, दुर्भावनापूर्ण इरादे के साथ, एनएफसी मेरी कॉल का पहला पोर्ट नहीं है। इस सप्ताह चार्ली मिलर द्वारा दिखाए गए कारनामों के बारे में पढ़ने के लिए सरल और निर्विवाद रूप से शांत हैं। लेकिन वास्तविक खतरे को बढ़ा-चढ़ाकर पेश करना आसान है, खासकर जब इन हैक की मुख्यधारा की रिपोर्टिंग महत्वपूर्ण तकनीकी विवरणों पर प्रकाश डालती है।
नीचे पंक्ति - यदि आप समय-समय पर अपने एंड्रॉइड फोन पर एनएफसी का उपयोग करने का आनंद लेते हैं, तो आप बस ऐसा करना जारी रखना सुरक्षित हैं।
अधिक: आर्क टेक्नीका
