به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ NFC یا ارتباط میدانی نزدیك تكنولوژی بدون تماس و بی سیمی است كه برای ارسال اطلاعات یا پرداخت های الكترونیك استفاده می شود. با الصاق یك چیپ NFC درون یك تلفن هوشمند, می توان كیف پولی مجازی، ایجاد نمود به این ترتیب كه كاربران قادر باشند مشخصات حساب بانكی خود را در آن ذخیره كرده و در هنگام خرید تنها با نزدیك كردن گوشی هوشمند خود به دستگاه كارت خوان قادر به پرداخت باشند.
NFC شباهت زیادی به تكنولوژی RFID دارد. یك چیپ كوچك NFC در داخل یك گوشی تلفن هوشمند و یا هر وسیله ی دیگری با ایجاد میدان الكترومغناطیسی قادر به برقراری ارتباط با یك دستگاه كارت خوان، یك پوستر هوشمند یا حتی تگ چسبانده شده به یك تبلیغ، و خواندن اطلاعات از روی آنها می باشد.
از زمانی كه NFC قابلیت ارتباط بدون تماس، جهت انتقال اطلاعات را فراهم کرده است در معرض تهدیدات امنیتی قرار گرفته كه در ادامه اشاره ای به این تهدیدات خواهیم داشت. توجه نمایید كه تهدیدات بایستی در برد محدودی معمولا در حد چندین سانتی متر بررسی گردند اما همواره امكان دریافت سیگنال های كاربردی در محدوده ی یك متری و یا بیشتر بسته به نوع سیگنال نیز، توسط مهاجمین وجود دارد.
اولین تهدید، امكان شنود داده انتقال شده، توسط مهاجم می باشد. شنود یا قطع ارتباط برقرار شده و دسترسی به داده های درحال انتقال اتفاق می افتد در صورتی كه داده در حال انتقال اطلاعات حساب كاربردی و یا مشخصات شخصی باشد مهاجم دسترسی كامل به این اطلاعات حساس خواهد داشت كه راه حل ممكن و آسان جهت حل این مشكل، رمز نگاری داده های جابه جا شده بر روی بستر NFC می باشد.
مشكل امنیتی بعدی قطع یا انحراف داده های ارسالی می باشد. كه در واقع نوعی حمله ممانعت از سرویس دهی (denial of service) می باشد كه در آن مهاجم جریان داده های در حال انتقال را بر روی بستر ارتباطی قطع میکند، مقابله با این نوع به مراتب سخت تر از حالتهای دیگر می باشد به همین جهت رمزنگاری داده ها قبل از انتقال و یا تركیب داده های ارسالی با داده های كنترلی می تواند راهكار مناسبی جهت مقابله با این نوع حملات باشد.
در راستای تهدید قبلی دستكاری داده ها از دیگر تهدیدات این حوزه محسوب می شود كه در آن مهاجم در نیمه راه با تغییر داده و ارسال آن به گیرنده باعث بروز خطر می شود كه ساده ترین راه مقابله با این تهدید هم استفاده از كانال ارتباطی امن می باشد.
بسترهای NFC همچنان مستعد حمله MITM (man-in-the-middle) هستند، در این سناریو مهاجم با موفقیت ارتباط را قطع و پس از تغییر داده مجددا اقدام به ارسال آن می كند و یا حتی بدون تغییر داده ها آنها را برای خود خوانده و ضبط میکند تا در آینده از آنها سو استفاده كند. برای كاهش اینگونه مخاطرات استفاده از حالت ارتباطی active-passive پیشنهاد می گردد چون در این حالت امكان تشخیص نفوذهای ناخواسته بیشتر ممكن می گردد و راه حل دوم همچنان همان استفاده از بستر امن می باشد.
و در نهایت مخاطرات حاصل از برنامه های مخرب و آلوده به بدافزار می باشند كه بروی دستگاه حاوی NFC دانلود می گردند، برنامه مخرب قادر خواهد بود تمامی تگ های NFC نزدیك به دستگاه هوشمند را خوانده و به مهاجم راه دور خود، ارسال کند در این حالت دستگاه NFC شما مورد استراق صمع قرار گرفته و حتی اطلاعات كارت اعتباری شما بدون اینكه مطلع باشید مورد دستبرد قرار می گیرد. ساده ترین روش مقابله با این نوع حملات آگاهی رسانی به كاربران در خصوص دقت در دانلود نرم افزارها می باشد.
بدافزارهای موبایل نیز در حال تبدیل شدن به یكی از معضلات سرقت اطلاعات می شوند چون قادر هستند اطلاعات حساس كاربران را از دستگاه های هوشمند خوانده و توسط بسترهای NFC و یا وب در اختیار مهاجمین قرار دهند. می توان با نصب یک ضدبدافزار و تنظیم رمز عبور و PIN كد برای دستگاه هوشمند خود جلوی بسیاری از این خطرات را گرفت.
خطری كه اخیرا شاهد آن بودیم Android Beam بوده است كه می توانست برای انتقال اطلاعات بین دستگاه ها و یا ارسال اطلاعات از یك تگ به یك دستگاه استفاده كند. اطلاعاتی همچون شماره های تماس، آدرس های اینترنتی، برنامه ها و کلی موارد دیگر. به جهت عدم نیاز به تاییدیه از سوی كاربر، بدافزار به راحتی قادر به نصب برنامهها بر روی دستگاه قربانی می باشد كه نصب این برنامه می تواند منبع جدیدی جهت دریافت هرچه بیشتر مخاطرات و كدهای آلوده باشد. راه حل مقابله با این مشكل همانا تنظیمات لازم جهت گرفتن تاییدیه از كاربر قبل از ارسال و دریافت اطلاعات توسط دستگاه می باشد.
مشكل دیگر مشاهده شده در این حوزه گوشی های تلفن نوكیا با قابلیت NFC می باشند كه بطور اتوماتیك بدون اجازه گرفتن از كاربر با دستگاه های بلوتوث دیگر ارتباط برقرار نموده و بطور پیش فرض هیچگونه PIN كد و یا تاییدیه ای از كاربر درخواست نمی كند. مهاجم به راحتی با ابزاری همچون obexfs دسترسی به دستگاه قربانی پیدا می كند. در این مورد نیز راه حل مقابله تنظیمات لازم جهت تاییدیه كاربر قبل از برقراری هر گونه ارتباط Bluetooth ای می باشد.
در خصوص هر تكنولوژی جدید، منحنی یادگیری امنیتی وجود دارد كه توسعه دهندگان نرم افزارها و كاربران عادی بایستی با آگاهی از تهدیدات، خود را در مقابل خطرات احتمالی محافظت کنند.
منبع: certcc