新しく採用されたNFC技術は安全になるだろうか?

リンク 今日、名刺会社「Moo」がNFC接続で連絡先情報の共有、Webサイトのオープン、ソーシャルメディアページのオープンなど、さまざまなことができるようにするためのチップをカードに実装する方法について話しています。

だから私は個人的にNFCやそれが確立する接続についてのトンを知りませんが、私の知る限りではそれはすべて無線接続です。そのため、チップとデバイスがそれらが接続されていることを認識すると、おそらく次のようなコマンドを実行します。

if device=connected{
do this
} else {
end/don't run command
};

不思議に思っていましたが、この接続はどれほど安全なのでしょうか。私の頭のすぐそばで、それがいくつかの脅威に対して大きなセキュリティ上のリスクをもたらすと感じています。

あなたはカードをタップして:

  • チップがソフトウェアをインストールする(keylogger)
  • チップが何かを盗む(Appleはあなたの支払い情報をアプリストアの一般設定に保存する)
  • 無線信号が第三者に傍受されている

これらのシナリオはどの程度可能ですか?誰もが新しいNFCカードの使用に関心があるべきですか?

(これに何をタグ付けするのか本当によくわかりません)

2
NFCはコード/コマンドではなくデータ(通常は少量)を転送します。もちろん、受信者がバッファオーバーフローのバグを持ち、いくつかのNFCペイロードがそれを引き起こす可能性がありますが、一般的には電子メールでリンクを受信するようなものです。悪意のあるものへのリンクを送信することはできますが、リンクされた場所からコードを自動的にダウンロードして実行するような愚かな方法で電子メールソフトウェアが作成されない限り、電子メール自体は安全ではありません。 NFCと同じ
追加された 著者 FatalSleep,
これは、デバイスがどのように許可を処理するか、および各デバイスがNFCカードに貸している程度に依存すると思います。
追加された 著者 RoraΖ,

5 答え

NFCは、有線、無線LAN、電子レンジ、光通信などのような別の媒体です。支払い、データ共有、その他の目的を問わず、安全な使用方法を作成して指導することはセキュリティの専門家には不可欠です。

目に見えない媒体であることは、認識の点でおそらくそれ自身のリスクをもたらしますが、それが媒体として多かれ少なかれ安全であることを示唆するその不可視性を超えて本質的なものは何もありません。

あなたのシナリオに関しては、私はその媒体を使用するシステムだけが関連しているとは思わない、そしてそれらは他のように安全な設計、アーキテクチャと実装に依存するでしょう。

セキュリティの観点から人々はこの問題についてしばらく前から話してきており、意識は確実に高まっています。

5
追加された

NFCはパケット転送の標準です。

パケットはペイロードを持つことができます。

ペイロードは有害になる可能性がありますが、そのペイロードをリッスンするプログラムに害を及ぼすことが必要になります。

ユーザーが送信された悪意のあるアプリをインストールしたり、危険なWebページにアクセスしたり、NFCパケットを受け付けるプログラムに脆弱性がない限り、これは起こり得ません。

どうして?あなたがNFCを介して送信するものはまさにファイルです。その後、ユーザーはファイルを開く必要があります。これはWebショートカット、プログラムインストーラ、テキストファイルなどです。ただし、これらのファイルは決して自動実行できません。彼らは開かれなければなりません。ファイルを待機しているプログラムがある場合は、そのファイルを開きますが、プログラムはOS NFCコミュニケータの前にあるフォアグラウンドアプリケーションまたはサービスハンドラである必要があります。

セキュリティにとってこれはどういう意味ですか?

他の多くのシステムと同じように、これは悪いユーザーがここで危険であることを意味します。ファイルが送信されて害を及ぼすのであれば、それはユーザーがこれらの運命のNFCパケットを受け入れるように設計されたプログラムを使用することによってそれが送信され、害をもたらすことを許可したからです。

NFCについて心配する必要がありますか?

Short answer: No.

長い答え:あなたは注意するべきです。 HTTPと同じように、NFCはプロトコルです。何か悪いことをするためには悪意のあるプログラムを利用しなければなりません。

このようなことが起こらないようにするにはどうすればよいですか。

NFCを無効にします。使用する必要がある場合は、ベストプラクティスを使用してください。

  • 信頼できない、または安全であると確認されていない情報源や人々からNFCを受け取らないでください。

  • 使用していない場合はNFCをオンのままにしないでください(BT、wifi、ストーブなど)。

  • 信頼できないコンテンツを表示、承認、インストールしないでください(一般的に、NFCだけではありません)。

これらのヒントを守り、安全であることにより、NFCはBluetoothより危険ではなくなりました。

編集: 無線でコミュニケーションを読んでいる人への対処: NFCは(使用される電力のために)非常に小さい移動距離を持っています。何かがあなた、あなたのデバイス、そしてあなたが通信しているものの隣にある場合、それがそこにある必要があるかどうか尋ねてください。答えが「いいえ」の場合、NFCは使用しないでください。

3
追加された

いくつかのポイントNFCは技術的な意味では本当に「新しい」わけではありません。数年前ですが、特定の分野での採用は限られていました。とはいえ、それは特定の分野でかなり使われています。

MITからの3歳の発表

any テクノロジと同様に、常にセキュリティ上の問題があります。問題となるモード、アプリケーション、およびデバイスに設定されている権限に応じて、あなたが暗示する悪用シナリオは可能な場合と不可能な場合があります。あなたの質問はかなり広く非特定的です、そして技術的な悪用で悪魔は細部にいつもです。

2
追加された
編集@RoraZをありがとう。入力が早すぎる、と思います。 =)
追加された 著者 TimK,
多分私はただ妄想的な母よ。私はしばらく前にソフトウェアを使ってガレージのドアを開けて、後でドアを開けるために信号を再生できると言う波を録音する人がいたことを覚えています。 3回目のクリックの前に最初のものをジャムし、2番目のものを記録し、ジャムしないようにプロセス全体がうまくいったと思います。両方ともある意味では無線電波なので、これが同じ考えに傾いているかどうかはわかりませんでした。
追加された 著者 Martin,

This NFC basics link should clear some of that up. You can even try your hand at it Here.

今日ではよく使われています。名刺やこのステッカーのような受動的なタグが主に2年前にオーストラリアで登場しました。編]

編集:私は "タグ"はその使いやすさとシンプルさのためにすぐにQRコードを置き換えていることを言及するのを忘れて、URL、アプリリンク(アプリストア用)、または "連絡先"などのごく少量のデータを保存するお使いの携帯用私はそれの限界を知りません、私は手を出しません。

最初のリンクを読むと、先ほど述べたような「パッシブ」タグが表示されます。目に見えないバーコードスキャナのように、これらは何も実行せず、単にテキスト行を格納します。他のオプションは、おそらくあなたのスマートフォンか何かに似た「アクティブな」デバイスです。それらはより強力です。しかし、アクティブなデバイスは、実行するようには設計されていないため、何もしません。通常、「このURLで何をしたいのですか」と尋ねます。セキュリティ上の問題が発見されない限り、そしてそれがすぐに修正されると確信している限り、心配することはほとんどありません。 NFCは暗号化されているため、部外者は聞くことができません。

1
追加された
私は最初のリンクがそれを私ができるよりよく説明したと感じました。
追加された 著者 Hexagon,
編集された、私はそれが今もっとはっきりしていることを願っています。
追加された 著者 Hexagon,
あなたはあなたの答えの中でいかなるセキュリティ問題にも取り組んでいません。質問に答えてみてください。 「すでにどこでも使用されています」というのは、その技術が安全だと信じる理由ではありません。実際、セキュリティ上の問題が発生する可能性がはるかに少なくなります。
追加された 著者 Philipp,

残念ながら、「NFC」は明確に定義された用語ではなく、さまざまなコンテキストでさまざまなことを意味します。主に、いくつかの業界準標準を定義したNFCフォーラムがあります。

  • NFCIP-1:NFCインターフェイスとプロトコルは、実際にはISO 18092およびECMA-340として同時発行されている「実際の」標準で、中程度のビットレート(〜100〜800 kビット)でデータを転送する半二重無線プロトコル/ s)イニシエータとターゲットの2者間の短い距離(10 cm未満で指定)。偶然ではありませんが、このプロトコルはISO 14443とほぼ互換性があります。ISO14443は同様の目的で長い間使用されてきました。
  • NDEF:NFCデータ交換フォーマット。コンパクトなバイナリデータストレージおよびメッセージシリアル化フォーマットです。
  • RTD:NEFレコードタイプ定義、NDEFメッセージの指定形式
  • 1〜4のNFCタグタイプ。複数のパッシブNFCタグの無線プロトコルと論理メッセージストレージの詳細を定義します。これらは基本的に無線インターフェースを備えた単なるパッシブデータストレージユニットです。
  • (RTDを介した)いくつかのメッセージフォーマットと、のような一般的なユースケースに期待されるセマンティクス。これは、名刺が入る場所、名刺、スマートポスターなどです。

ここでの2つの重要な側面:NFCフォーラムは、ロックビットを除いて、「セキュリティ機能」として分類されるものは何も指定していません。一般的に、メッセージをタグに書き込んだ後、ビットを設定するとタグは読み取り専用になり、それ以上の書き込み試行には抵抗します。 そして:NDEFメッセージはまさにそれ:メッセージです。ここには実行可能コードや他のアクティブな魔法は含まれていません。

名刺のユースケース(これはMooによって発明されたものではありません)では、NDEFメッセージをカードに書き込みます。これは私の電話番号です:...«など。別のデバイスがタグに連絡してメッセージを読み、ユーザーに次の操作を促します(例:この名刺の内容を電話帳に新しい連絡先)。

他のNDEFメッセージタイプには、もう少しわかりやすいものがあります。電話でメッセージを読むときにコール要求に電話番号と予想される意味が含まれるのは、その番号に電話をかけるかどうかをすぐに尋ねられることです。

繰り返しになりますが、セキュリティ特性は実装または要求されていません。タグから読み取られたデータがどこから来たのかは誰にもわかりません。しかし、それは実際にはコンピュータプログラムやコードではないので、読み取りデバイスのパーサが壊れているか、デバイスがユーザの同意なしに何かをしている場合にだけセキュリティ問題を抱えます。そのうちのいくつかは過去にありました。

1
追加された
どちらが双方向ですか? NFCIP-1だけ?
追加された 著者 Bryan Denny,