Томас Шкора (Thomas Skora (https://twitter.com/#!/blubbfiction)), исследователь безопасности из Германии,
представил (http://www.scmagazine.com.au/News/305881,android-app-steals-contactless-credit-card-data.aspx) приложение для платформы Android, способное читать содержимое бесконтактных кредитных карт. Для создания канала связи задействован стандартный беспроводной стек NFC (Near Field Communications), используемый для обмена данными в пределах малого радиуса действия. Код приложения опубликован (https://github.com/thomasskora/android-nfc-paycardreader) на GitHub.
Приложение было успешно протестировано для сбора детальной информации с кредитных карт PayPass Mastercard, но также работает и с другими платёжными системами, такими как GeldKarte, пользующимися популярностью в Германии. В процессе демонстрации удалось считать номер карты, срок действия, информация о транзакциях, идентификаторы торговых систем. По словам разработчика, создавая приложение он не преследовал злонамеренных целей, а лишь попытался продемонстрировать незащищённость бесконтактных платёжных систем и способность организации атаки при помощи обычного смартфона с поддержкой NFC.
Атаки на бесконтактные кредитные карты не являются новинкой, но в данном случае для организации доступа, вместо специализированных устройств, оказалось достаточно стека NFC. Малый радиус действия NFC (порядка 10 см.) ограничивает условия совершения атаки и не позволяет организовать сбор данных в глобальных масштабах. Тем не менее, компания Google сочла приложение опасным и удалила android-nfc-paycardreader из Android Market, откуда некоторое время можно было загрузить готовую сборку. После удаления, автор приложения разместил (https://github.com/thomasskora/android-nfc-paycardreader/dow...) APK пакет на стороннем сервере.
Дополнительно можно отметить обнаружение (http://marc.info/?l=linux-kernel&m=134030878917784&w=2) в NFC-стеке ядра Linux пяти удалённо эксплуатируемых переполнений буфера, которые можно использовать для организации выполнения кода через отправку на устройство жертвы специально оформленных пакетов с полями некорректной длины. Положительным моментом является то, что NFC-стек интегрирован в ядро Linux относительно недавно и ещё не получил распространения. Для решения проблемы представлен патч, но авторы патча предупреждают, что проблема имеет системный характер и требует для своего решения более глобальной переработки кода.URL: http://www.h-online.com/open/news/item/Android-application-r...
Новость: http://www.opennet.ru/opennews/art.shtml?num=34164
/me погладил свою карточку в обёртке из фольги и поправил шапочку
>/me погладил свою карточку в обёртке и поправил шапочку из фольгиfixed
>>/me погладил свою карточку в обёртке и поправил шапочку из фольги
> fixedНет, испоганена тонкая шутка. :-(
> /me погладил свою карточку в обёртке из фольги и поправил шапочкуЭто не помогает. Я не про спадающую шапочку.
На сколько я помню не помогает только в случае с шапочкой. Просто потому, что для защиты нужно либо отрезать голову, либо укутаться в фольгу целиком. Так что карточке может и помочь.
>> /me погладил свою карточку в обёртке из фольги и поправил шапочку
> Это не помогает.Вообще должно бы - клетка Фарадея же.
http://www.anikos.org/?page_id=155
Ну и как оно в сравнении с обычным ядром в плане потребления энергии и производительности?
Ведется работа по оптимизации под различные ARM-платформы, разработка сопровождается на XDA-Developers.
Также хочу отметить, что производительность существенно выросла с переходом на компилятор Linaro GCC.
> http://www.anikos.org/?page_id=155Гы, оно настолько секурное что у чуваков попросту не работает их сайт:
------------------------
ОШИБКА: Could not read CAPTCHA token file.
There is a problem with the directory /si-captcha-for-wordpress/captcha/temp/.
Directory Unwritable (fix permissions). Permissions are: 0755 Fixing this may require assigning 0755 permissions or higher (e.g. 0777 on some hosts. Try 0755 first, because 0777 is sometimes too much and will not work.) Fixing the actual problem is recommended, but you can uncheck this setting on the si captcha options page: "Use CAPTCHA without PHP session" and the captcha will work this way just fine (as long as PHP sessions are working).
------------------------Судя по всему, перцы настолько затянули гайки что у них сайт издох. Ну в общем как положено у маньяков-гентушников: круто, оптимизнуто и ... не работает нифига :).
Ну и вообще, затея хорошая но...
1) Многочисленные фичи для ушлепков-оверклокеров выглядят диковато рядом с секурити. Это как порш-кайен с ара-тюнингом из "зубилы" примерно. Вы уж конечно извините, но если вы оверклокнули железо - оно имеет право работать ненадежно и со сбоями. В свете этого какие-то разговоры о секурности выглядят диковато. Тех кто страдает оверклоком такая хрень уж точно не беспокоит.
2) Система на основе генты? В сколь-нибудь практических применениях? Хорошо прикололись.Итого: затея в теории на пять. Реализация - на два балла.
>[оверквотинг удален]
> Ну в общем как положено у маньяков-гентушников: круто, оптимизнуто и ...
> не работает нифига :).
> Ну и вообще, затея хорошая но...
> 1) Многочисленные фичи для ушлепков-оверклокеров выглядят диковато рядом с секурити. Это
> как порш-кайен с ара-тюнингом из "зубилы" примерно. Вы уж конечно извините,
> но если вы оверклокнули железо - оно имеет право работать ненадежно
> и со сбоями. В свете этого какие-то разговоры о секурности выглядят
> диковато. Тех кто страдает оверклоком такая хрень уж точно не беспокоит.
> 2) Система на основе генты? В сколь-нибудь практических применениях? Хорошо прикололись.
> Итого: затея в теории на пять. Реализация - на два балла.Совершенно с Вами согласен! Реализации затеи с дистрибутивом сейчас нет: все вылилось в развитие концепций доработки ядра ОС. В настоящее время работы над дистрибутивом приостановлены, ведется разработка защищенного ядра для мобильных платформ, в частности - Android. Представлены рабочие прототипы для телефона Google Nexus S и планшета Asus Transformer TF101.
> http://www.anikos.org/?page_id=155> Концепция реализованных механизмов защиты уровня ядра ОС, прорабатываемых в рамках проекта AnikOS, препятствует успешной реализации атак данного типа.
Как проработаете, делитесь ссылкой
И да не повторится с вами судьба bolgenOS! )
> Малый радиус действия NFC (порядка 10 см.)...компенсируется направленной антенной, после чего грамотный хаксор снимет это с расстояния в метры или десятки метров. Ну в общем опять платежная индустрия обгадилась.
> ...компенсируется направленной антенной, после чего грамотный хаксор снимет это с расстояния
> в метры или десятки метров. Ну в общем опять платежная индустрия
> обгадилась.Прибячивать направленную антенну к кредитке - это как-то не айс xD
> Прибячивать направленную антенну к кредиткеЗачем к кредитке то? К NFC ридеру. Дохлоту с 1 стороны линка можно скомпенсировать улучшениями с другой стороны линка :)
>> Прибячивать направленную антенну к кредитке
> Зачем к кредитке то? К NFC ридеру. Дохлоту с 1 стороны линка
> можно скомпенсировать улучшениями с другой стороны линка :)Угу, щаз! Скачай мне с модема 1200/NONE гигабайтный файлик.
На расстоянии метра сигнал уже превратится в хаос, как ты его не усиливай.
> На расстоянии метра сигнал уже превратится в хаос, как ты его не усиливай.Сразу видно, павлин с радиолинками дел не имел, но каркнуть высунулся. Подсказываю: улучшение антенны с 1 стороны позволяет и дострелить дальше, и получить останки сигнала с большего расстояния. Не, SNR конечно не отменяли, но вон сигнал со спутников и то получают кой-как всякими GPSами. Хоят спутники явно не на расстоянии метра, а мощность падает пропорционально R^2, так что спутнику с 10W явно хуже чем карточки с несколько mW :)
Если я правильно помню там логарифмическая зависимость. так шо 30ваттного передатчика хватает дострелить до марса.
Смотря как излучается. У лазера узко направленный пучок теоретически вообще не будет терять мощность. А в случае, когда во все стороны излучается (сферически), то да мощность пропорциональна 1/R^2, как и сказал предыдущий оратор.Просто потому, что одна и та же энергия проходит сперва через сферу с радиусом 1 м (и площадью 4Пи м^2), потом 2 м (с площадью 4Пи*2*2 м^2) и т.д. Соответственно плотность потока энергии падает.
А в случае направленной антенны как будет? ФАР какая-нибудь.
Дело говорите.
Кстати об антеннах. Аналогов HFSS не знаете?
>>> Зачем к кредитке то? К NFC ридеру. Дохлоту с 1 стороны линка можно скомпенсировать улучшениями с другой стороны линкаНельзя, скорее всего. Карточка всего лишь модулирует поле, питаясь за счёт него же. Теоретически можно достаточно мощным сигналом пробить "навылет" карточку, но SNR модификации сигнала и отношение мощности модуляции к мощности поля в этом случае будут запредельно низкими, так что считать что-то вряд ли получится.
> считать что-то вряд ли получится.К чему такие сложности? Есть же старые дедовские трюки:
"Сколько лет, сколько зим! Дай я тебя обниму! Ой, извинте. Обознался."
Полагаю, считать так будет даже проще, чем увести бумажник из кармана.
К сожалению или к счастью, сейчас не те времена. Чем более закрыто общество, тем более открыты в нём люди, чем более общество открыто тем более замкнуты люди и закрыты для окружающих. Ваши обнимашки сейчас могут не получиться, и более того, вызвать подозрение.
> К сожалению или к счастью, сейчас не те времена. Чем более закрыто
> общество, тем более открыты в нём люди, чем более общество открыто
> тем более замкнуты люди и закрыты для окружающих. Ваши обнимашки сейчас
> могут не получиться, и более того, вызвать подозрение.Возможно, вы правы, но людей доверчивых и сейчас хватает. Кто-то же несёт деньги в очередной МММ, покупает БАДы как панацею, отправляет сообщения на короткие номера. А в общественном траспорте можно не актёрствовать. Протолкался через толпу и даже руками работать не надо. Обязательно какая-нибудь тётечка забудет карту в экранирующий чехольчик положить.
Ровно два слова: общественный транспорт.
> К сожалению или к счастью, сейчас не те времена. Чем более закрыто общество, тем более
> открыты в нём люди, чем более общество открыто тем более замкнуты люди и закрыты для
> окружающих. Ваши обнимашки сейчас могут не получиться, и более того, вызвать подозрение.Глядя на переполненное метро по утрам - думаю обнимашки не нужны
А с другой стороны - вот стоит охранник на проходе и металоискателем вас сканит, подозрений ведь не вызывает ? ;)
> А с другой стороны - вот стоит охранник на проходе и металоискателем
> вас сканит, подозрений ведь не вызывает ? ;)металодетектором*
> "Сколько лет, сколько зим! Дай я тебя обниму! Ой, извинте. Обознался."Да нафиг обнимать - с передатчиком помощнее, приемником почувствительнее и просто хорошей антенной будет достаточно "случайно" пройти в полуметре.
При том, что бумажники нередко носят в кармане штанов, обнимать придëтся за талию/бëдра. А за это можно отхватить так, что уже не до карточки будет. :-)
> А за это можно отхватить так, что уже не до карточки будет. :-)Совсем наоборот. Шанс свиснуть пару штук баксов (ну, допустим) vs начищенное рыло - ну тут явно счет будет не в пользу целой физиономии
> По словам разработчика, создавая приложение он не преследовал злонамеренных целей, а лишь попытался продемонстрировать незащищённость бесконтактных платёжных систем и способность организации атаки при помощи обычного смартфона с поддержкой NFC.Это не атака, так и должно быть. Должны использоваться только стандартные интерфейсы, нет проприетарщине! Если есть стандартный NFC, то самобытные колёса от каждой отдельной копрорации не нужны!
А номер карты, срок действия и идентификаторы платёжных систем не являются секретной информацией - наворовать этих номеров сколько угодно можно просто внимательно глядя по сторонам, стоя в очередях. А все кассиры вообще разделились бы на богатых и святых если бы эта информация сама по себе чего-то серьёзного стоила. Если кто-то без вашего ведома совершил несанкционированную транзакцию по этим реквизитам - то это проблема банка либо (зависит от страны) по закону, либо по копеечной цены страховке.
> А все кассиры вообще разделились бы
> на богатых и святых если бы эта информация сама по себе
> чего-то серьёзного стоила.Если часто расплачиваетесь карточкой в магазине, обратите внимание, переворачивают ли продавцы карточку обратной стороной вверх.
Этого делать нельзя, но кто об этом знает?
Насколько я знаю, есть и такие схемы - продавец как бы случайно переворачивает cvv кодом наружу.
А кто-нибудь рядом запоминает/фотает/записывает.> Если кто-то без вашего ведома совершил несанкционированную
> транзакцию по этим реквизитам - то это проблема банка либо (зависит
> от страны) по закону, либо по копеечной цены страховке.А вы сами пробовали когда-нибудь откатить транзакцию по карточке?
С одной из моих карточек хостинг fatcow очень настойчиво пытался снимать 100-150$ каждую неделю.
Это при том, что я давно отказался от их услуг.
В банке мне ничем не могли помочь, кроме как бесплатно перевыпустить карточку.
>> А все кассиры вообще разделились бы
>> на богатых и святых если бы эта информация сама по себе
>> чего-то серьёзного стоила.
> Если часто расплачиваетесь карточкой в магазине, обратите внимание, переворачивают ли
> продавцы карточку обратной стороной вверх.
> Этого делать нельзя, но кто об этом знает?Это в случае "оплаты по PIN" только. В случае "по документам" они обязаны сверить подпись. Так что в обоих случаях плохо - кассир всегда может узнать либо PIN, либо CVV :-)
> всегда может узнать либо PIN, либо CVV :-)И прецеденты со скимером любезно прицепленным на провод ридера - известны.
>[оверквотинг удален]
>> чего-то серьёзного стоила.
> Если часто расплачиваетесь карточкой в магазине, обратите внимание, переворачивают ли
> продавцы карточку обратной стороной вверх.
> Этого делать нельзя, но кто об этом знает?
> Насколько я знаю, есть и такие схемы - продавец как бы случайно
> переворачивает cvv кодом наружу.
> А кто-нибудь рядом запоминает/фотает/записывает.
>> Если кто-то без вашего ведома совершил несанкционированную
>> транзакцию по этим реквизитам - то это проблема банка либо (зависит
>> от страны) по закону, либо по копеечной цены страховке.Уже лет пять я не в теме, но до сих пор стоя в очереди к кассе в супермаркете механически запоминає реквизиты мелькающей в руках кассира (и таки двумя сторонами) СС. Даже самые распространенные бины в памяти осели намертво, до сих пор помню какой банк 4405882 и 5577212 например, а кто 4627730. Хоть информация в основном бесполезная, еще в 2008 клиента прозванивали уже на второй попытке.
Куда выгоднее и безопаснее усовершенствовать чужие роутеры с root/admin или support/support для тех кто кроме как вбивать ничего не умеет. Как их (ШПД-мыльниц) не хватало в 2005-м...
У меня все. Включайте вентилятор, господа
Охренеть.
У многих карточки в бумажниках, а бумажники в кармане брюк.
И телефон можно положить в карман брюк.
В метро, в час пик 10 сантиметров вполне может хватить, чтобы считать данные очччень многих карточек.
Причем, в новых гуглофонах все чаще встречается функционал NFC.
Охренеть.
Вот вам и "технологии спасут человечество!".Данные с магнитной лентой статичны - их один раз считать и все.
А чип выдает одноразовые идентификаторы при каждом считывании.
Совет всем - пользуйтесь карточками с чипом.
Но, чувствую, грядет новая веха в истории кардинга.
Привет советчикам-анабиозникам: http://www.telegraph.co.uk/science/science-news/7215920/Chip...
> Привет советчикам-анабиозникам: http://www.telegraph.co.uk/science/science-news/7215920/Chip...Спасибо за ссылку, интересная информация.
Хотя в том случае нужно украсть карточку, а это уже немного другой случай.
> Совет всем - пользуйтесь карточками с чипом.А можно продолжать не пользоваться? Лет пять как избавился и весьма тому рад.
> А можно продолжать не пользоваться? Лет пять как избавился и весьма тому рад.А с этим есть некие проблемы. Например, местные барыги оценивают свои услуги на ряд товаров в несколько номиналов. Так что проще и в разы дешевле купить, пардон, за рубежом. Для чего карточка нужна.
Я все понимаю, но перекармливать местных барыг в разы мне "религия не позволяет".
>> Совет всем - пользуйтесь карточками с чипом.
> А можно продолжать не пользоваться? Лет пять как избавился и весьма
> тому рад.Ну, если вы организовали свою жизнь так, что можете без неё обходиться, то конечно можете продолжать не пользоваться)
Скажем так, частенько работодатели выплачивают зарплату исключительно безналичными.
Обычно на карточный счет ("на карточку").
Как я понимаю, в нашей стране это, чаще всего, сбербанк.
Карточка visa electron с магнитной лентой.
Ну, то есть, масштаб понимаете)
> Ну, если вы организовали свою жизнь так, что можете без неё обходиться,
> то конечно можете продолжать не пользоваться)
> Скажем так, частенько работодатели выплачивают зарплату исключительно безналичными.Сказано было к тому, что в байки о том, что _все_ работодатели такие (и _все_ бузинесы развиваются на кредитах) -- верить вовсе не обязательно.
Но важнее тут даже не циферки-бумажки, а своя земля и то, что на ней за двадцать лет укоренилось.
> Сказано было к тому, что в байки о том, что _все_ работодатели
> такие (и _все_ бузинесы развиваются на кредитах) -- верить вовсе не
> обязательно.Мне кажется, вы подмешиваете свой смысл.
Я говорю о безналичной форме выплаты ЗП.
Не вижу явной связи между формой выплаты ЗП и источником финансирования компании.
Даже студентам стипендия падает на карточку.
Просто... вы представляете себе, что такое - выдать 50 людям по 50 т.р. в один день?
Мечта карманника.
Даже с точки зрения безопасности сотрудников, лучше переводить на карточку.P.S.
Банковская карточка не обязательно является кредитной.
Есть такое понятие, как дебетовая карточка.
> Даже с точки зрения безопасности сотрудников, лучше переводить на карточку.Мечта кардера.
> Есть такое понятие, как дебетовая карточка.
Знаю.
Гы, и ведь работает, что характерно... Получилось прочитать карточку.
Удалил уже проект с гитхаба, или админы удалили.
я думаю админы удалили.2All: никто не знает, где теперь брать исходники? ;)
> я думаю админы удалили.
> 2All: никто не знает, где теперь брать исходники? ;)2 Kibab: налейте, отзеркалю.
Я брал отсюда: https://github.com/rayyan/android-nfc-paycardreaderНо вообще есть ещё несколько приложений на Маркете, в частности, рекомендую NFC TagInfo (https://play.google.com/store/apps/details?id=at.mroland.and...): с его помощью с загранпаспорта получилось прочитать даже фотографию, которая в чипе закодирована!
> Я брал отсюда: https://github.com/rayyan/android-nfc-paycardreaderспасибо, сделал копию, на досуге посмотрю.
> Но вообще есть ещё несколько приложений на Маркете, в частности, рекомендую NFC
> TagInfo (https://play.google.com/store/apps/details?id=at.mroland.and...):
> с его помощью с загранпаспорта получилось прочитать даже фотографию, которая в
> чипе закодирована!так исходников же вроде нет
>> Я брал отсюда: https://github.com/rayyan/android-nfc-paycardreader
> спасибо, сделал копию, на досуге посмотрю.
>> Но вообще есть ещё несколько приложений на Маркете, в частности, рекомендую NFC
>> TagInfo (https://play.google.com/store/apps/details?id=at.mroland.and...):
>> с его помощью с загранпаспорта получилось прочитать даже фотографию, которая в
>> чипе закодирована!
> так исходников же вроде нетКонкретно к этой проге нету, а я и не обещал их. Я её привёл в пример потому, что она реально много интересного может прочитать.
> с его помощью с загранпаспорта получилось прочитать даже фотографию, которая в
> чипе закодирована!А там вроде как тоже дырка обнаружилась. В общем пора выпускать металлические кошельки.
> Я брал отсюда: https://github.com/rayyan/android-nfc-paycardreaderСпасибо, положил архив снапшота здесь: http://ftp.linux.kiev.ua/pub/soft/android-nfc-paycardreader/
> [...] в частности, рекомендую NFC TagInfo [...] с его помощью с загранпаспорта
> получилось прочитать даже фотографию, которая в чипе закодирована!Да, довольно много дырок уже усажено по местам и прикрыто усердным "ничего не было" (как раз попалась на глаза очередная дымзавеса по поводу штатовских HR3200/HR4872).
> Да, довольно много дырок уже усажено по местам и прикрыто усердным "ничего
> не было" (как раз попалась на глаза очередная дымзавеса по поводу
> штатовских HR3200/HR4872).Ради справедливости должен заметить, что с другой NFC-карточки тоже получилось считать фотографию, но отпечатки пальцев, записанные в том же чипе, уже прочитать не удаётся, ибо уровень доступа недостаточен.
Но уже сама возможность получить хотя бы серийник напрягает. Надо, действительно, думать о том, как защитить кошелёк от жуликов и воров^W^W^W продвинутых сканеров хакеров :-))
>> компания Google сочла приложение опасным и удалила android-nfc-paycardreader из Android Marketздоровсая цензурка: выпиливают "опасности" не ввиде malware, а инструмента в шаловливых ручках.
только, ведь, программка - не пулемёт, ножик или отвёртка. но, докатились: страусиный подход даже для рядов байтиков.лучше бы встраивание всякого уторможенного, рекламного и/или следящего говна vendor'ами в кишки их OS присякали. а, ну так они тем же самым занимаются, значит: это есть - "хорошо" и угодно :/
только когда кто-то другой по чужим щелям лазит без спроса, "плохо" становится.
И для чего такого полезного можно юзать данную прогу, кроме как для увода информации?
Польза этой программки скорее не в ее использовании, а в факте ее появления. Лишнее напоминание о том, насколько хило устроена защита карточек
> Польза этой программки скорее не в ее использовании, а в факте ее
> появления. Лишнее напоминание о том, насколько хило устроена защита карточекДля того, чтобы свершился факт появления, необязательно располагать программку в google play.
Что такое script kiddies, знаете?
я даже не знаю как ещё яснее высказаться об отвратительности борьбы с "инструментами плохих дел".но, попробую ещё раз:
есть большая разница между автоматизированым нечто, которое может нагадить без посторонней помощи (всякое malware), либо только с помощью его же жертвы, и предметами, которые сами по себе ничего не сделают (эта штука, reaver, nmap и тп.).
дак вот, бороться со вторыми только потому, что "добрых" применений придумать не получается, я считаю омерзительным, особенно когда для этого нет законодательных указаний, а возжелалось поиграть в Творца Добра По Всей Земле.
не Гуглово это дело.
>Продемонстрировано чтение кредитных картПродемонстрировано чтение открытых сведений, что вполне ожидаемо. Новостью была бы невозможность считывания данных, для того и предназначенных.
> при помощи смартфона с NFC.
Фигасе! ;) А вы думали, для чего NFC в телефоне? В т.ч. и для коммерции.
как собрать андроид пакет из исходников ?
в Украине паспорта с НФС вводят