Android-взломщик

Эксперты Symantec нашли “дыру” в технологии беспроводной оплаты NFC: приложение для Android может вскрывать банковские карты на расстоянии. Это в очередной раз показало уязвимость новой системы, хотя она и защищена со стороны банка, оправдывают NFC участники рынка.

Антивирусная компания Symantec обнаружила, что данные банковских карт можно получать через беспроводную технологию обмена данными Near Field Communication (коммуникация ближнего поля), которая, в частности, используется для оплаты услуг и товаров с телефона. Выявить брешь позволило приложение Android.Ecardgrabber, которое компания разместила в Google Play.

Программу, вскрывающую карты на расстоянии, разработал немецкий программист, имя которого антивирусная компания не уточняет.

Протестировав приложение с двумя платежными системами, ему удалось получить номера пластиковых карт, даты начала и конца срока их действия, а также номера банковских счетов. Впрочем, получить код безопасности банковской карты ему не удалось.

На сервере приложение было размещено 13 июня 2012 года. Когда именно его удалили, в Symantec не сообщают, уточняя, что за время работы приложения его успели скачать от 100 до 500 пользователей. Так банковские карты стали уязвимы для потенциальных злоумышленников.

Приложение Android.Ecardgrabber не вирус: оно было создано независимыми экспертами с исследовательскими целями, уточняют в Semantec.

В результате эксперимента было выявлено, что использование технологии беспроводной оплаты может быть небезопасно: система уязвима и может быть вскрыта злоумышленниками, предупреждают в Symantec.

“К примеру, пользователь везет в метро карту, которая может работать по протоколу NFC, а злоумышленник, проходя мимо, подносит свое оборудование карте и считывает данные”, — привел пример представитель компании Symantec, добавляя, что о существовании других подобных приложений ему неизвестно.

Технология NFC позволяет оплачивать покупки, поднося мобильный телефон с установленным приложением к точке на терминале продаж на расстояние 10 см вместо оплаты товаров кредитными картами или подарочными сертификатами. На смартфоне сохраняется информация о покупках, он автоматически передает данные о состоянии счета, а устройство снимает с него деньги. Обычно технологию используют для проведения банковских операций на суммы меньше 10 евро без ввода PIN-кода. Технологию NFC поддерживают смартфоны Sprint Nexus S 4G, Samsung Galaxy S III. Предположительно, системой будет оснащен и iPhone пятого поколения.

В 2011 году было продано 30 млн NFC-смартфонов. В прошлом году было произведено более 40 подобных моделей. В 2012 году продажи вырастут до 100 млн, а к 2016 году до 700 млн смартфонов в год, прогнозируют аналитики Berg Insights.

Это не первый случай, когда программисты выявляют недостатки в NFC. В начале года старший инженер компании Zvelo Джошуа Рубин создал приложение, позволяющее взломать четырехзначный PIN-код, который требовался для запуска приложения кошелька Google. Он поделился своими результатами с интернет-корпорацией, после чего та подтвердила наличие “дыры” и в пожарном порядке стала устранять проблему. В результате работа сервиса была приостановлена на некоторое время.

Впрочем, как говорит ведущий аналитик Mobile Research Group Эльдар Муртазин, “система NFC работает относительно недавно, и можно сказать, что находится в тестовом режиме. Поэтому чем больше будет выявлено в ней недостатков на этом этапе, тем лучше: их можно будет оперативно исправить, чтобы сделать более надежной”. Эксперт напоминает, что NFC имеет много уровней безопасности, в том числе со стороны банка, который предоставляет карту.

Любые платежные технологии могут быть опасными, и в данной ситуации владельцу смартфона нельзя терять контроль над ним, советует председатель комитета Национальной ассоциации участников электронной торговли Борис Ким: “Для того чтобы злоумышленник воспользовался пластиковой картой, достаточно знать номер карты и код безопасности на обратной стороне, и эти данные могут получить даже официанты, которым посетитель отдаст ненадолго карту для того, чтобы расплатиться по счету”.

Екатерина БРЫЗГАЛОВА