На этот раз обделался гугель

РЕЩЕТО!

Дурная не технология, а реализация.

Это еще вопрос. В гугле не нашлось нормальных программистов-математиков, чтобы сделать реализацию по правилам?

Да при чем тут математики. Если прикосновением телефона можно включить браузер, открыть страницу, загрузить вредоносный код и запустить его, то сам NFC чем виноват?

Дык без него же такое не сделаешь. Решето, да. Кстати, там первый коммент - айёс навсегда!

решето*

Дык без него же такое не сделаешь.

Я не верю, что NFC само по себе может совершить вышеперечисленные вещи. Это технология для передачи данных. Что с этими данными дальше делать, определяет уже софтвар.

А вообще, ссылку на какое-то внятное описание дыры можно?

РЕЩЕТО!

Тоже самое и про GPRS и Bluetooth сказать можно.

Вообще-то NFC - технология двойного назначения, и несанкционированный доступ к девайсу - одно из ее назначений.

«Поднесите пожалуйста ваш девайс к этой мишеньке и мы вас хакнем» как страшно жить. Мы уже проходили вирусню на лине «Скомпилируйте меня и запустите под рутом». И заголовок просто желтушное 4.2.

В толпе можно поднести свой телефон к карману с телефоном жертвы.

там еще что было про «поскольку мы начинающие программисты, удалите пожалуйста все сами с жесткого диска»

Можно и яйца дверью прищемить, но так в этом же ж не дверь виновата.

Так я и не говорю, что виновата NFC. Это я к вопросу о том, что эксплоит можно использовать без мишеньки и прав рута.

Ну я не думаю, что там всё настолько плохо и NFC нельзя отключить, как это можно сделать с блюпуп или вифи. И в таком случае только дурак будет ходить в толпе с включенным NFC.

Проверил бы, но в моем телефоне нет NFC :)

Вот и в моём тоже

технология здесь ни причём, дело скорее в политике кода. Также стоило бы упомянуть, что это не просто какое-то мероприятие, а BlackHat 2012. И больше всех, кстати, там облажался Apple.

Вот вам и статья и слайды, и код https://media.blackhat.com/bh-us-12/Briefings/C_Miller/BH_US_12_Miller_NFC_at... https://media.blackhat.com/bh-us-12/Briefings/C_Miller/BH_US_12_Miller_NFC_at... https://media.blackhat.com/bh-us-12/Briefings/C_Miller/BH_US_12_Miller_NFC_at...

Здесь архивы всех выступлений (пока не все выложили, но будут дополнять) https://www.blackhat.com/html/bh-us-12/bh-us-12-archives.html

В толпе можно поднести свой телефон к карману с телефоном жертвы.

и обменяться эксплойтами :)

И появится социальная реклама «молодежь за безопасный NFC» :3

Не в тему, но рекомендую - https://media.blackhat.com/bh-us-12/Briefings/Santamarta/BH_US_12_Santamarta_... - о бэкдорах в промышленном оборудовании, одна из уязвимостей, использованная Stuxnet-ом, закрыта сименсом только недавно.

Где тег «решето»?

несанкционированный доступ к девайсу - одно из ее назначений.

??

Это для тебя такое откровение?

Это для тебя такое откровение?

Я так понял, что это по типу БСК. На уровне самого протокола шифрования нет, т.к. оно предполагается на уровнях выше.

Проблема не в шифровании, а в том, что фича изначально задумана как активируемая извне.

Проблема не в шифровании, а в том, что фича изначально задумана как активируемая извне.

По типу считывалки карт, которые активируются при прикладывании карты?

Если так, то в чем проблема? Ну пришел сигнал, что кто-то хочет подключиться. Так можем просто игнорить его.

Теории заговора без пруфов не нужны.

Гугель сам по себе один большой пруф, как будто это не ясно.
Никому реально этот NFC не уперся, а что будут через него тырить данные - к гадалке не ходи.

Так можем просто игнорить его.

Даже если откинуть версию закладки, чего бы я в случае напрочь анальных смартфонов делать не стал, есть нехилый шанс того, что сделают удаленный эксплоит и будут трахать всех подряд, как в свое время было с виндой.

Даже если откинуть версию закладки, чего бы я в случае напрочь анальных смартфонов делать не стал

Закладку можно куда угодно воткнуть.

Например, блютус. Когда ты выключаешь в настройках его, ты точно уверен, что он на самом деле выключился, а не ждет команды извне?

Например, блютус.

Та еще дырка, но в отличие от NFC легко ограничиваемая. А NFC областью своего применения уже намекает на наличие критических данных вроде платежной информации.

а разве для NFC не нужно сначаал настроить профиль а поотом уже происходит его активация? нет профиля - нет утечки.

Вот это вброс! Зачет.

Зачем гуглу понадобились твои данные?

но в отличие от NFC легко ограничиваемая.

и как же ты его гарантированно ограничишь?

критических данных вроде платежной информации.

так шифрование же.

Зачем гуглу понадобились твои данные?

У гугла это вообще-то основной способ заработка. Разве это для кого-то новость? Данные собираются, обрабатываются, применяются в рекламе и продаются, я уж молчу о сотрудничестве с разнообразными полицаями и тому подобными структурами.

«Фольги, фольги! Человеку плохо!»

Т.е. если ты об этом не знал, то есть повод считать гугель считать белым и пушистым? :) Интересная логика.

На этот раз обделался гугель

А я думал про глюк GTalk на днях, когда сообщения не уходили или уходили не тем пользователям :)

А я думал про глюк GTalk на днях, когда сообщения не уходили или уходили не тем пользователям :)

Внедряли ту же фичу, что у скайпа? :)

Внедряли ту же фичу, что у скайпа? :)

Ага, у меня такая же ассоциация :)

Т.е. если ты об этом не знал, то есть повод считать гугель считать белым и пушистым?

Т.е. меня еще не покусал рмс и я не паникую при виде мегакорпораций.