Tarjeta BIP! hackeada no Chile demonstra vulnerabilidade no NFC.
No Chile NFC pagamento eletrônico já é uma realidade, " Tarjeta BIP! "é o nome do sistema de pagamento utilizado para pagar o transporte público com smartphones dos usuários que suportam o padrão. A adoção de padrões de tecnologia NFC para aplicação ticketing NFC é uma realidade em todo o mundo, muitas empresas permitem NFC pagamentos de bilheteira, devido às suas inúmeras vantagens. Todos nós sabemos que quando uma tecnologia é a difusão tão rápida, as questões de segurança são, infelizmente, são negligenciadas e cibercrime está sempre pronto para explorar a falta de implementação dos requisitos de segurança.
A notícia do dia é que, segundo o especialista em segurança Dmitry Bestuzhev criminosos cibernéticos inverteram os "Tarjeta BIP!" Cartões e descobriu o mecanismo para recarregar-los gratuitamente. Alguém se espalhou na internet um aplicativo, que permite que os usuários recarregar seus créditos para usar para NFC pagamento eletrônico com seus dispositivos Android.
"Então, em 16 de outubro o primeiro aplicativo amplamente disponível para Android apareceu, permitindo que os usuários para carregar estes cartões de transporte com 10k pesos chilenos, uma soma igual a aproximadamente US $ 17 USD.", Relatou Bestuzhev em um post de blog publicado em SecureList portal com
Os usuários só precisa instalar o aplicativo em seu dispositivo Android NFC, colocou o bilhete na proximidade do smartphone e apertar o botão "cargar 10k", a operação de encher o cartão com 10.000 pesos chilenos.
Os peritos que analisaram o aplicativo para Android descoberto a partir dos metadados do pacote de arquivos DEX que ele foi compilado em 16 de outubro de 2014, é um pequeno aplicativo (884,5 tamanho kB), que interage diretamente com o porto NFC: android.hardware.nfc . Os autores da fraude também são capazes de alterar o identificador do cartão, chamado "Numero BIP", uma característica que torna difícil para a aplicação da lei para bloquear cartões BIP recarregados ilegalmente.
As principais funcionalidades implementadas pelo autor do aplicativo são:
" cambiar Nummer BIP "- o que permite que o usuário altere o número do cartão completamente."Numero BIP" - para obter o número do cartão, " Saldo BIP "- para obter o saldo disponível,"Dados Carga "- para reabastecer saldo disponível e, por fim, talvez o mais interessante é
Apesar das relações originais disponíveis online para baixar o Android App foram levados para baixo, ainda é possível fazer download de um novo aplicativo, que implementa a mesma funcionalidade, a partir dos novos servidores. A nova aplicação foi compilada em 17 de outubro de 2014, é derivada da original pouco seu tamanho é maior devido à presença de um componente de propaganda.
"Uma vez que ambos os aplicativos permitem aos usuários cortar um aplicativo legítimo, eles agora são detectados pela Kaspersky como HEUR: HackTool.AndroidOS.Stip.a", explicou Bestuzhev .
Ataques Como explicado no post do blog, devido ao grande interesse na aplicação no país, os criminosos poderiam espalhar uma versão maliciosa do aplicativo que é capaz de infectar dispositivos móveis NFC para Android, desta maneira atores ameaça pode executar direcionados no Chile , compor uma botnet ou realizar qualquer outro tipo de fraude com base em tecnologia móvel (por exemplo, fraude SMS Premium, farsa chamada prémio ).
Queridos amigos chilenos, cuidado!
Comentários