伦敦奥运采用NFC移动支付 McAfee警告有风险
安全软件厂商McAfee警告,本月底在伦敦奥运会使用的近场通信(NFC)支付测试可能存在欺诈风险。
在伦敦奥运会期间,每个运动员都会获得一个特殊的奥运NFC功能的三星Galaxy SIII手机,用以在奥运会期间支付各种费用。然而,McAfee警告说,这项技术仍然不成熟,可能成为欺诈者的攻击向量。
当具有“电子钱包”应用程序的NFC设备位于支付终端几厘米范围内时,NFC支付技术使人们能够通过无线电通信支付低价值的产品。
McAfee移动安全研究人员Jimmy Shah在博客中写道:“当我们最后一次检查NFC手机和类似应用程序时,我们发现存在这样的问题:攻击者可能能够追踪应用程序或者手机硬件以及Android操作系统。”
他补充说道:“在那时,我们发现一个PIN重置漏洞,该漏洞允许攻击者使用免费预付卡,以及攻击手机中的PIN。谷歌更新了Wallet应用程序来修复这些漏洞,使这种攻击更加难以执行。”
“现在攻击者将需要利用硬件本身,虽然这并不一定涉及利用嵌入式安全芯片(Secure Element)部分。攻击者瞄准操作系统及其NFC处理库,就能够获得不小的收获。”
事实上,安全研究人员已经发现了进一步的漏洞,这些包括“模糊硬件”等,这涉及向应用程序注入损坏的数据以发现其漏洞。
独立安全研究人员Charlie Miller和Collin Mulliner在黑帽2009中已经演示了如何“模糊”短信息来发现Android和Apple iOS操作系统中的漏洞。
“Mulliner还看到了模糊NFC标签,这需要开发一个Python库以及框架来测试旧设备。近日,他更新了其软件来测试Android设备,这允许他将精心制作的NFC标签注入到手机中,然后监控结果。他还可以将损坏的NFC标签注入到Android的库,然后捕捉任何崩溃或者代码执行机会。”
安全专家Bruce Schneier还警告说,智能手机将会越来越多地成为欺诈者的攻击媒介,特别是当手机中整合了支付功能时。
Schneider表示:“我相信,在未来几年,智能手机将会逐渐成为犯罪分子的主要攻击平台。随着这些智能手机越来越深入人们的生活(智能手机银行、电子钱包),它们将会成为最吸引犯罪分子的有价值的设备。”
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。