Nfc secure

Введение

NFC (Near Field Communication, «Коммуникация ближнего поля» или «связь ближнего действия») — это технология беспроводной высокочастотной связи малого радиуса действия, обеспечивающая обмен данными между устройствами на расстоянии нескольких сантиметров. Она объединяет интерфейс смарт-карты и считывателя в единое устройство.

В основе работы технологии NFC лежит индуктивная связь, так она основана на старой технологии RFID, которая также использует электромагнитную индукцию для передачи информации. Это говорит об одном существенном отличии между NFC и Bluetooth/Wi-Fi. Пассивные устройства NFC могут получать питание от полей, создаваемых активными устройствами, но с крайне малым диапазоном.

https://www.youtube.com/watch?v=ytaboutru

что позволяет отказаться от источника питания в данных компонентах. К сожалению технология NFC не может обеспечить достаточно высокую индуктивность, чтобы заряжать смартфоны, но QI зарядки основаны на том же физическом принципе. Электромагнитные поля могут быть использованы для передачи данных или индуцируют электрические токи в приемном устройстве.

Технология NFC имеет 2 режима работы: активный и пассивный.

В активном режиме взаимодействия NFC устройств оба устройства генерируют электромагнитное поле. В таком случае происходит следующий тип работы:

1. Устройство-инициатор начинает обмен данными на выбранной скорости передачи
2. Устройство-приемник отвечает о готовности приема на установленной скорости передачи

Пассивный режим взаимодействия NFC устройств— электромагнитное поле генерирует только инициатор сеанса связи

1. Устройство-инициализатор начинает обмен данными на выбранной скорости передачи
2. Устройство-приемник отвечает, модулируя сигнал от имеющегося поля

С учетом двух режимов технология NFC может использоваться для следующего:

• эмуляция карт: устройство NFC ведет себя как существующая бесконтактная карта;
• режим считывания: устройство NFC является активным и считывает пассивную RFID-метку, например для интерактивной рекламы;
• режим P2P: два устройства NFC вместе связываются и обмениваются информацией.

Как работает NFC?

Приложить к автомату смартфон, чтобы рассчитаться за товар куда комфортнее, если сравнивать с ношением в кармане пары-тройки кредитных карт.

Технология работы NFC (Near Field Communication либо Связь Недальнего Расстояния) базируется на взаимосвязи 2-х катушек электромагнитного типа, одна из которых находится в смартфоне, а другая, соответственно – в автомате. Чтобы начать взаимосвязь, оба девайса должны располагаться на дистанции не больше, чем 5 см друг от друга.

Угрозы безопасности

Основными угрозами безопасности являются:

1. Подслушивание
2. Модификация данных
3. MitM-атака
4. Кража устройства
5. Ошибки в программном коде

Подслушивание

Подслушивание происходит когда преступник “слушает” эфир во время совершения NFC-транзакции. Злоумышленнику не нужно перехватывать каждый отдельно модулируемый сигнал для с получения секретной информации.

При передаче данных злоумышленник может манипулировать передаваемыми данными или просто засорять эфир. В таком случае вся передаваемая информация будет повреждена и не будет иметь смысла для конечного устройства-получателя.

MitM-атака

Если предположить, что А и B используют активный и пассивный режим работы NFC-модуля соответственно, то будет создана следующая ситуация. А генерирует ВЧ-поля и отправляет данные B. Если злоумышленник (Е) находится достаточно близко, то он может подслушивать данные, посланные А. Кроме того, Е должна активно мешать передаче А, чтобы убедиться, что B не получает данных.

Кража устройства

https://www.youtube.com/watch?v=upload

Получив мобильное NFC-устройство, злоумышленник может также получить права суперпользователя, подключив это устройство к другому, таким образом, получить всю необходимую информацию и использовать ее для осуществления нелегитимных транзакций.

Угрозы данного типа позволяют получать информацию о платежной информации или позволяющую совершать транзакции из-за ошибок в коде приложения, неверную реализацию кода, несоответствию ТЗ и другим ошибкам, вызванным вследствие ошибок в реализации приложения или же операционной системы.

Как включить NFC? Как узнать, есть ли модуль на смартфоне?

Все довольно легко. Чтобы понять, есть ли NFC модуль на пользовательском телефоне либо планшете, работающем на базе Android и активировать его, пользователю нужно перейти в «Конфигурация» – «Беспроводные Коммуникации» – «NFC».

Если у пользователя есть дурная привычка повсюду и постоянно забывать собственную кредитку, то в этой ситуации, если его гаджет оснащен NFC модулем, ему предоставляется возможность сделать собственный телефон настоящей кредиткой. Делается это следующим образом:

• Во-первых, необходима кредитка, которая поддерживает paypass технологию;
• Надо инсталлировать на смартфон программу (клиент) пользовательского банка, в котором изготовлена карточка;
• Открыть инсталлированную программу, найти параметр, который отвечает за NFC, и выбрать его. После этого к задней панели телефона либо планшета надо подложить кредитку, чтобы она считалась;
• Вслед за удачным считыванием пользователю будет отправлен по СМС пароль, состоящий из 4-х чисел, который следует сохранить. Этот PIN-код нужно будет вводить тогда, когда пользователь осуществляет оплату с помощью телефона либо планшета.

Разработчики модуля утверждают, что его использование безопасно, поскольку:

1. Пользователю необходимо всегда, перед тем, как что-то купить, ввести код PIN.
2. Диапазон работы NFC микропроцессора составляет только 10 см (в действительности еще меньше).

Метод 2. Метки NFC

Типичная ситуация: человек проснулся, съел завтрак, посмотрел запасы в холодильнике и открыл программу «Купи Батон» либо «Google Keep», чтобы добавить в список то, что нужно купить. После этого, он выходит из квартиры и включает мобильную сеть, садится в авто и активирует GPS, Bluetooth, чтобы благополучно добраться до места работы. Там он переключает смартфон в режим вибрации и открывает «Evernote».

Что для этого нужно:

1. Инсталлировать программу NFC ReTAG.
2. Найти NFC-метки или, если у пользователя есть бесконтактные карточки оплаты метро либо общественного транспорта, а может давно забытые либо не использующиеся банковские карточки, поддерживающие Pay Pass.
3. Открыть NFC ReTAG, отсканировать карточку либо метку, добавить ее и назвать как угодно пользователю.
4. После этого нужно выбрать действие, которое будет осуществляться на смартфоне, когда пользователь его прилаживает к метке, и нажать клавишу «Действие».
5. Создать действие, к примеру, запустить программу «Купи Батон».

Вслед за тем, как пользователь создал действие, можно прикрепить карточку либо метку к холодильнику (или поставить рядом). С этого момента каждый раз, когда пользователь зайдет на кухню, ему предоставляется возможность мгновенно запустить программу «Купи Батон», и сохранить напоминание со списком обязательных покупок.

Как сделать?

1. Необходимо просканировать карточку либо метку, назвать ее.
2. Обозначить действие – запустить программу GPS, а еще открыть беспроводную передачу информации Bluetooth.

Если на смартфоне есть права Root, то это тоже увеличит возможности использования меток NFC и у человека будет больше «фишек», чтобы автоматизировать процессы телефона либо планшета.

Это метод передачи данных (похож на Bluetooth) с помощью NFC микропроцессора. Важно помнить о том, что скорость обмена данными с помощью Android Beam весьма маленькая, в связи с чем будет целесообразно пользоваться ей исключительно для передачи незначительного количества текста либо ссылок.

Для этого необходимо:

• Нажать клавишу «Расширить»;
• Поднести оба девайса друг к другу;
• Когда изображение на дисплее передающего устройства станет меньше, нажать по нему, чтобы запустить передачу.

Смарт-браслет либо кольцо с опцией NFC – инновационный проект разработчиков из Китая, который подходит для телефонов, функционирующих на различных ОС. Браслет можно выбрать для любого размера руки (аналогичная ситуация с кольцом). Вес девайса очень мал, но главное то, что он полностью поддерживает NFC технологию.

Роль чипа, к примеру, в девайсе Band 3 BFC, играет специализированный чипсет. С помощью последнего смарт-браслет помогает телефону передавать информацию по каналу бесконтактного типа, таким образом, сохраняя высокую защищенность. Сведения на девайсе можно переписывать неограниченное количество раз.

Браслет сохраняет платежную информацию, записи и прочие персональные данные. Смотреть сведения не составит труда – хватит лишь приложить браслет к дисплею телефона. Он в считанные секунды установит связь со смартфоном и отключит блокировку дисплея, а еще будет играть роль «горячей» клавиши. К примеру, во время поднесения браслета к телефону в тот же миг активируется камера, сеть либо программа соцсети.

Другие опции

NFC-модули встречаются на этикетках в магазинах либо в музеях на табличках со сведениями, во время сканирования которых пользователь будет перемещен на сайт с полными данными о продукте или стойке.

Решения и рекомендации

Для различных угроз предлагаются различные решения, которые могут минимизировать риски несанкционированной оплаты и повысить безопасность мобильных платежей до соответствующего уровня.

Подслушивание

https://www.youtube.com/watch?v=ytadvertiseru

Технология NFC сама по себе не может защитить себя от прослушки. Важно отметить, что данные, передаваемые в пассивном режиме значительно труднее перехватить, но пассивный режим в большинстве решений и приложений не применим.
Единственное решение, которое защищает от данной угрозы – предварительно установить безопасный канал связи.

Мифы и исследования безопасности NFC

Чтобы досконально во всем разобраться, ниже приведены всевозможные мифы, слухи и реальные ситуации, относящиеся к безопасности NFC технологии.

Дистанция

Бесконтактные карточки применяют с целью передачи информации NFC технологию, подкатегорию RFID. На кредитке находятся процессор и антенна, откликающиеся на запрос расчетного терминала на частоте радио 13,56 МГц. Различные системы платежей пользуются собственными стандартами, к примеру, Visa Pay Wave или MasterCard Pay Pass. Но все они базируются практически на одинаковом принципе.

Расстояние передачи информации с помощью NFC колеблется в рамках нескольких см. В связи с этим, первая ступень безопасности – физическая. Считыватель, в действительности, надо поднести впритык к кредитке, что достаточно трудно осуществить скрытно.

Однако есть возможность создать необыкновенный ридер, который работает на дальнем расстоянии. К примеру, ученые из Университета Сюррей в Британии показали технологию считывания NFC сведений на дистанции около 80 см благодаря практичному сканеру.

Этот гаджет действительно способен скрытно «опрашивать» бесконтактные карточки в маршрутках, ТРЦ, аэропортах и прочих массовых местах. К счастью, во многих государствах надлежащие кредитки находятся в портмоне уже у каждого второго человека.

Тем не менее есть возможность пойти куда дальше и обойтись совершенно без сканера и персонального присутствия. Очередное необычное решение проблемы диапазона предъявили хакеры из Испании. Р. Родригес и Х. Вилла, которые презентовали лекцию на собрании Hack In The Box.

Большая часть новых Android-телефонов оборудованы блоком NFC. При этом гаджеты зачастую располагаются в непосредственной близости с портмоне – к примеру, в одном рюкзаке. Вилла и Родригес разработали концепцию трояна (вирус) на Android, превращающий телефон потерпевшего в некое подобие ретранслятора сигнала NFC.

В тот момент, когда зараженный смартфон находится рядом с бесконтактной кредиткой, он передает с помощью сети хакерам сигнал о досягаемости операции. Злоумышленники запускают обыкновенный терминал для платежей и прилаживают к нему собственный телефон NFC. Следовательно, «выстраивается» мост с помощью сети между терминалом и картой NFC, которые могут находиться друг от друга на любой дистанции.

Вирус способен передаваться обычным путем, к примеру, в комплектации с «хакнутой» платной программой. Все, что необходимо – это версия ОС Android 4.4 и позднее. Root-права не обязательны, однако и рекомендованы для того, чтобы вирус имел возможность функционировать и после того, когда экран девайса заблокируют.

Криптография

Конечно, подойти к карте – это 50% успеха. Вслед за этим необходимо сломать, куда более мощный барьер, который основан на криптографии.

Бесконтактные операции защищаются аналогичным EMV стандартом, что и процессорные карточки. Если сравнивать с дорожкой магнита, которую реально скопировать, с процессором такой ход не пройдет. По запросу терминала микросхема каждый раз создает ключ одноразового использования. Такой ключ реально перехватить, однако он уже будет неподходящим для последующей операции.

Есть, к слову, один нюанс. В обычном исполнении безопасность процессорных карточек базируется на сочетании криптовых ключей и ввода человеком кода PIN. В процессе бесконтактных операций PIN-код чаще всего не нужен, поэтому остаются лишь криптовые ключи процессора карточки и терминала.

Сумма покупки

Существует еще одна ступень безопасности – лимит предельной суммы бесконтактной операции. Это ограничение в конфигурации оборудования терминала устанавливает эквайер (банк), который руководствуется советами платежных систем. В РФ предельная сумма платежа – тысяча рублей, а в Америке порог составляет 25 долларов.

В платеже на большую сумму будет отказано либо автомат начнет требовать вспомогательную идентификацию (подпись или PIN-код), все зависит от конфигурации эквайера – эмитента карточки. Во время попыток поочередно снять пару-тройку сумм меньше предельной, тоже должна активироваться система вспомогательной безопасности.

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

Но и тут существует специфика. Еще одна группа ученых университета Ньюкасла из Британии практически годом ранее сказала, что нашла лазейку в безопасности бесконтактных операций платежной системы Visa.

Если запросить платеж не в фунтах стерлингов, а в другой зарубежной валюте, то лимит на сумму не включается. А если терминал не подсоединен к Всемирной паутине, то предельная сумма хакерской операции способна достигать и миллиона евро.

Сотрудники платежной системы Visa опровергли реализацию такого взлома на практике, сказав, что в операции будет отказано системами защиты банка. Если верить словам Тараторина из Райффайзенбанка, то терминал управляет пороговой суммой платежа вне зависимости от того, в какой валюте он проводился.

Обзор различных платежных приложений на основе NFC

Google Wallet

Google Wallet существует с 2011 года, система имеет как минимум 3 версии. В каждой версии менялся технический подход к мобильным платежам в основном из-за политической ситуации, которая была вокруг системы. В ныне используемой версии используется технология HCE (Host-based Card Emulation), которая эмулирует кредитную карту без использования элемента безопасности, доступ к которому может быть ограничен из-за его использования другой платёжной системой.

Потребитель же может добавлять все свои кредитные и дебитные карты, подарочные карты с помощью Google Wallet как на их сайте, так и в самом приложении кошелька от Google. Так же можно добавлять некоторые суммы напрямую на баланс аккаунта.

Было обнаружено несколько уязвимостей, которые были связаны с ошибками или недоработками в программном коде приложения. На данный момент все критические уязвимости устранены.

Apple Pay

Мобильное платежное приложение от корпорации Apple является своеобразным гибридом использования технологий HCE и SE (Элемент безопасности). Использование токенов говорит о том, что подход в данном решении ближе в технологии облачной эмуляции карты, однако хранение токенов в элементе безопасности, реализованном в отдельном физическом защищенном чипе говорит об использовании SE.

На данный момент не было обнаружено никаких уязвимостей в данном платежном приложении.

Билайн

Для пользования данным платежным приложением требуется карта «Билайн» — обычная дебетовая MasterCard, которую можно получить в любом салоне «Билайн».

Карта эмулируется на телефоне.

Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона. Однако для мобильного приложения карты «Билайн» используется комплекс мер, которые сводят к минимуму вероятность взлома.

• Продукт защищен от взлома и клонирования как на уровне самого приложения, так и на уровне процессинга;
• Операции по заблокированному телефону невозможны;
• Операции на сумму свыше 1000 рублей защищены онлайн пин-кодом;
• Возможна удаленная блокировка карты.
• Каждая транзакция защищена уникальной криптограммой, без которой авторизация невозможна.

Заключение

В заключении стоит отметить, что технология бесконтактных платежей, в самом деле, закрыта отличной многоступенчатой защитой, но это совершенно не обозначает, что с ней пользовательские средства располагаются в безопасности. Чересчур многое в карточках банковских учреждений взаимосвязано с весьма «старыми» технологиями (полоса из магнита, сетевой платеж без вспомогательной проверки и т.д.)

К тому же многое заключается во внимательности конфигурации определенных финансовых заведений и торговых точек. Стоит отметить, что последние в гонке за шустростью покупок и малым процентом «оставленных корзинок» весьма сильно пренебрегают защищенностью транзакций.

Читайте на сайте

В этом заключается одно из важных отличий NFC от Bluetooth. Именно малое расстояние, на котором устройство доступно для обмена данными, делает использование новой технологии безопасным. Например, платежи – защищенными от перехвата данных.

Второе преимущество перед Bluetooth в том, что соединение происходит гораздо быстрее – достаточно десятой доли секунды.

https://www.youtube.com/watch?v=ytpolicyandsafetyru

И только третье отличие не в пользу Near Field Communication: средняя скорость передачи данных у него ниже – 424 Кбит/с.

Особенности технологии

Технология NFC основана на радиочастотной идентификации RFID (Radio Frequency IDentification), позволяющей принимать информацию посредством радиосигналов частотой в 13,56 МГц не только с активных, но и пассивных устройств.

Важная особенность: данные для считывания NFC устройствами записываются и хранятся в специальных транспондерах, называемых метками.

Несомненное достоинство технологии – любой пользователь может применять NFC метки, созданные самостоятельно. О том, как это работает, расскажем ниже.

Любопытный факт: первый мобильный телефон со встроенным NFC-чипом появился на свет еще в 2006 году. Им оказалась «раскладушка» Nokia 6131. Однако в то время из-за отсутствия инфраструктуры – терминалов бесконтактной оплаты, ценников и табличек с метками и пр. – технология осталась невостребованной.

Где же и как используется Near Field Communication сегодня?

Сфера применения

Технология NFC применяется при изготовлении и использовании бесконтактных пластиковых карт. Например, банковские карты Visa PayWave и MasterCard PayPass оснащены NFC-чипами с микроантеннами.

Самый распространенный вариант использования Near Field Communication в мобильных телефонах как раз и называется «эмуляция карт». С помощью мобильника, «притворившегося» прямоугольником пластика, можно:

• оплачивать покупки в супермаркетах, чеки ресторанов и кафе, бензин или дизтопливо на АЗС и др., оставляя MasterCard или Visa дома под замком и никогда не теряя;
• получать скидки и рассчитываться бонусами, не нося с собой, соответственно, дисконтных и бонусных карт;
• ездить на метро и в другом городском транспорте по электронному проездному, забытому дома;
• проходить в учреждение со смартфоном или планшетом вместо электронного пропуска;
• пользоваться электронными ключами.

Второй вариант использования технологии – передача-прием данных между двумя мобильными устройствами (P2P).

Использование NFC меток

Приведем пример, как применять самодельные NFC метки, чтобы автоматизировать составление списка покупок с Android:

• установить приложение NFC ReTAG;
• сделать своими руками метку из чипа со старой, неиспользуемой карты оплаты (например, проездного);
• запустить приложение, отсканировать метку и дать ей имя (например, producty);
• с помощью кнопки « Действие» добавить действие для считывания метки – открыть приложение Купи Батон либо Google Keep;
• прикрепить метку на холодильник или рядом с ним.

Теперь приложение для создания списка покупок будет открываться гораздо быстрее.

Аналогичным способом можно с помощью NFC меткизапрограммировать автомобиль на автоматическое включение навигатора и Bluetooth, когда владелец с телефоном или планшетом при себе садится за руль.

Оплата с помощью NFC

NFC оплата отличается надежной защитой платежных данных. При этом применение сервисов Apple Pay и Samsung Pay гарантирует еще большую безопасность, чем использование бесконтактных карт.

Во-первых, каждая транзакция проводится через создание уникального цифрового ключа (кода) без передачи данных карты платежному терминалу (продавцу).

Во-вторых, операция требует подтверждения отпечатком пальца владельца устройства. Это означает, что даже в случае утери смартфона посторонние лица не смогут воспользоваться деньгами, тогда как с банковской карты их можно увести без PIN-кода.

Разберемся, обладая телефоном с NFC как пользоваться двумя популярными сервисами бесконтактной оплаты, которые в 2016 году пришли в Россию.

Чтобы делать покупки с Apple Pay, требуется айфон не старше шестого либо часы Apple Watch с новейшей версией watchOS и пятый айфон (или моложе).

https://www.youtube.com/watch?v=ytcopyrightru

Необходимо:

1. убедиться, что на устройстве установлено приложение Wallet;
2. открыть его на айфоне и добавить банковскую карту;
3. проверить настройки Touch ID, а для часов – включить «Распознавание запястья» и настроить пароль;
4. делая платеж с iPhone, дважды нажать на Home, с Apple Watch –также дважды на боковую кнопку часов, после чего поднести устройство к терминалу бесконтактной оплаты;
5. если кассир попросит ввести PIN-код, использовать PIN-код пластиковой карты.

Покупать с Samsung Pay можно не только через терминалы, поддерживающие бесконтактную оплату. Дело в том, что компания Samsung изобрела собственную технологию MST (Magnetic Secure Transmission – «магнитная безопасная передача»). Смартфоны с поддержкой MST при оплате создают возле терминала магнитное поле, как от сигнала магнитной полосы пластиковой карты.

Таким образом, Samsung Pay не работает только с терминалами, требующими вставить чипованную карту. Он также не передает данные устройствам взломанным и зараженным вирусным ПО.

Недостаток сервиса в том, что он доступен на ограниченном количестве моделей Samsung Galaxy.

Чтобы стать пользователем Samsung Pay, следует:

1. зарегистрировать и добавить аккаунт Samsung;
2. обновить прошивку смартфона;
3. после обновления нажать на значок сервиса в меню;
4. зарегистрировать в приложении свой отпечаток пальца;
5. добавить карту.

Процедура добавления карты в Samsung Pay несколько сложнее, чем в Apple Pay. Кроме ввода карты вручную или через камеру смартфона и ввода SMS-подтверждения, требуется принять условия пользовательских соглашений с банком-эмитентом и сервисом, создать цифровую подпись стилусом либо тем же отпечатком пальца. По окончании всей процедуры надо подождать завершения регистрации карты 10 минут.

Принцип оплаты через Samsung Pay:

• приложить палец к соответствующему значку, подтверждая транзакцию;
• поднести свой Samsung к терминалу;
• ввести PIN банковской карты, если требуется.

В Apple Pay один пользователь может добавить не более 8 карт, в Samsung Pay – максимум 10.

https://www.youtube.com/watch?v=ytpressru

В настоящее время оба сервиса поддерживаются небольшим количеством банков-партнеров. Кроме того, большинство эмитентов поддерживают карты MasterCard, а доступность Visa отстает. Но со временем эта ситуация выровняется, а перечень банков-партнеров будет расширяться.