Black Hatカンファレンスは今週ラスベガスで開催され、ハッカー、セキュリティの専門家、大手企業の代表者が集まり、情報セキュリティに関連するすべてのことについて議論します。 今日のカンファレンスのニュースをフォローしている場合、悪意のあるNFC(近距離無線通信)タグがマルウェアを送信する可能性があるAndroid(およびNFC対応のMeego電話)の新しいセキュリティ脆弱性のレポートに出くわしたかもしれませんお使いの携帯電話に直接。 恐ろしいですね。 ハッカーはあなたが何もしなくてもスマートフォンを乗っ取ることができるようになりました。 しかし、これらの種類のセキュリティ問題では常にそうであるように、見かけほど簡単ではありません。 そして、このNFCの「ハック」は、セクシーでありながら技術的に印象的ですが、通常のスマートフォンユーザーにとって特に怖いものではありませ ん 。
続きを読んでその理由を見つけてください。
まず、NFCが実際に何であるかを簡単に説明する必要があります。 これは近距離無線通信の略で、非常に短距離で少量のデータを即座に送信するために設計された非常に短距離の無線通信技術です。 スマートフォンでは、これを使用して1つのハンドセットから別のハンドセットにURLなどを転送したり、NFCの「タグ」をスキャンしたりできます。 また、Googleウォレットなどを介して支払いを促進するためにも使用できます。 (Android AZで)
今週、セキュリティ研究者のチャーリー・ミラーが、Nexus S(ジンジャーブレッド)、Galaxy Nexus(アイスクリームサンドイッチ)、およびMeego搭載のNokia N9をハッキングするためのさまざまな手法をデモしたと、複数のソースが報告しています。 最も恐ろしいエクスプロイトの多くはN9で見つかりましたが、ここではAndroidに焦点を当てます。 (そして、今日のヘッドラインの多くが焦点を当てていることでもあります。)
Galaxy Nexus Millerでは、ハイエンドから始めて、Ice Cream Sandwich以降を実行するNFC対応AndroidスマートフォンがAndroid Beamを使用することを実証しました。AndroidBeamは、一部(すべてではない)がデフォルトでオンになっている機能です。 とりわけ、Beamを使用すると、ユーザーは別の電話またはNFCタグからデバイスのWebブラウザーにURLを直接読み込むことができます。 これは、悪意のあるNFCタグを使用して、想定外のユーザーを悪意のあるWebページに直接送信できることを意味します。 ただし、それが機能するためには、タグはNFC無線が動作できる非常に短い範囲内にある必要があります。 Android Beamは、設計により、プロンプトなしでタグ付きURLを自動的に開きます。 これは有効なセキュリティ上の懸念ですが、ユーザーの選択したWebブラウザーで脆弱性を見つけるために必要なことを行うために、従来の意味でのエクスプロイトではありません。
Android 4.0.1で組み込みのAndroidブラウザーを使用している場合、このようなバグが存在するため、特別に設計されたWebページでデバイス上でコードを実行できます。 繰り返しますが、完全に有効なセキュリティ問題ですが、この種のエクスプロイトの配信方法としてNFCを使用することは実用的ではありません。 言うまでもなく、Android 4.0.1はGalaxy Nexusでのみリリースされました。GalaxyNexusは、キャリアに応じてAndroid 4.0.4または4.1.1にアップデートされました。
Millerは、Android 2.3のメモリ管理のバグを悪用して、NFCをサポートするGingerbreadデバイスに悪意のあるタグを使用してコードを実行させる方法も示しました。 これにより、攻撃者はNFCタグのみを使用してデバイスを完全に制御できるようになる可能性がありますが、この問題をそれほど深刻ではないと思われるいくつかの要因を指摘する必要があります。 確かに、Android 2.3 Gingerbreadは依然としてAndroidの最も使用されているバージョンであり、多くの新しいAndroidデバイスにはNFCサポートが搭載されていますが、両者の間にクロスオーバーはほとんどありません。 Nexus SはNFCをサポートする最初のAndroidハンドセットでしたが、それ以降はJelly Beanに更新されました。 2.3で出荷された他のNFC対応デバイスが、NFCを搭載した主流のAndroidスマートフォンのほとんどは、少なくともバージョン4.0.3を実行します。これは、このデモで使用されるエクスプロイトに対して脆弱ではありません。 実際、少なくともAndroid 4.0.3にアップデートされていないNFCを搭載した単一のGingerbread電話は考えられません。
したがって、脆弱性は確かに存在しますが、現時点で深刻なのは、NFCを搭載したAndroid人口の非常に小さなサブセット と 非常に特定のOSバージョンに限られています。 さらに、電話の電源を入れる必要があり、NFC無線を有効にする必要があります。また、ユーザーは、気付かないNFCトーンや振動に気付かないように気を散らす必要があります。
最終的に、ハッキングされているデバイスへの物理的アクセスを含むエクスプロイトは、実際の悪者に限定的に使用されることになります。 現実の世界でスマートフォンをNFCで制御することは、Black Hatで示されている方法が公表された後でも、危険にさらされ、実行される可能性があります。 悪意を持って長時間電源を入れたまま電話にアクセスできる場合、NFCは私の最初の呼び出しポートにはなりません。 今週チャーリー・ミラーが示したエクスプロイトは独創的であり、読むのは間違いなくクールです。 しかし、特にこれらのハッキングの主流の報告が重要な技術的詳細を明らかにしていない場合、彼らがもたらす本当の危険を誇張するのは簡単です。
結論-Android搭載端末でNFCをときどき使用することを楽しんでいるのであれば、それを続けても安全です。
その他:Arc Technica
![Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]](https://img.androidermagazine.com/img/podcast/292/google-exposes-pixel-4-features.jpg "Googleはピクセル4の機能を公開し、プレイパスサブスクリプションをテストしています。 nvidiaシールドテレビがパイを取得[acpodcast]"){kind=tracking}
