首页 > 安防专题, 支付专题, 行业资讯 > NFC和Web安全将成本届黑帽大会热门话题

NFC和Web安全将成本届黑帽大会热门话题

2012年7月24日

【CNW.com.cn独家译稿】黑帽USA 2012安全大会将于本周三到本周四举行,据悉安全研究人员将会披露关于近场通信(NFC)、移动基带固件、HTML5和Web应用等的最新漏洞。

黑帽USA大会今年是第15届,届时将会有数千位安全热衷者和IT专业人士将会聚首在拉斯维加斯举办的年度安全会议,观看安全行业一些最顶尖的研究人员展示他们的最新发现。去年的黑帽大会上,著名黑客BarnabyJack演示了如何破解ATM,引起人们的热议。

随着智能手机的迅速普及,移动技术已成为安全研究的一个重要内容。今天的很多手机实际上都是微型计算机,其上存有大量敏感数据,这也使得它们成了攻击者攻击的目标。

一些智能手机厂商已经实施了NFC技术,可以让智能手机完成无接触移动支付。用户只须在有NFC功能的设备上晃动手机便可完成交易。

著名的苹果黑客Charlie Miller在安全咨询公司Accuvant担任首席研究咨询师,他研究了现有NFC实现的安全性,发现了一些可以滥用NFC技术的方法,控制一些智能手机在未经用户允许的情况下便可进行盗取文件、打开网页等动作。

在某些情形下,攻击者可通过NFC完全控制手机,让它们盗取照片、联系人、发送文本短信,甚至自行拨打电话。在今年的美国黑帽大会上,Miller展示其最新发现一事有可能是本届大会最值得期待的内容之一。

在另一场移动安全展示中,卢森堡大学的研究人员Ralf-Philip Weinmann将讨论针对基带处理器——即负责与蜂窝网络通信的手机微处理器——的攻击。

去年,Weinmann展示了如何利用基带处理器的漏洞把手机变身为远程间谍设备,欺骗手机用户与一个流氓GSM基站——一个瘦身版的手机基站——通信。该基站可使用一些现成的硬件和开源软件构建。

今年,Weinmann计划展示这些流氓基站甚至不必去主动发起攻击便可得逞,因为一些基带漏洞可通过IP网络加以利用。

Weinmann在其演示文件中描述道,如果对运营商网络的某些组件按某种方式进行配置,便可同时攻击大量的智能手机。

移动恶意软件的威胁正在日益增长,尤其是针对安卓平台的恶意软件威胁。为了保护安卓用户,防范恶意应用上传至谷歌Play,谷歌创建了一个自动的恶意软件扫描服务,叫做Bouncer。

在黑帽大会上,来自Trustwave的安全研究员Nicholas Percoco和Sean Schulte将介绍一种技巧,该技巧可让他们避开Bouncer的检测,让一个恶意应用在谷歌Play上已经驻留了数周。

Percoco称,这个上传到谷歌Play上的应用开始时是良性的,但是随后的升级可为其增加恶意功能。最终结局将是一个可盗取照片与联系人的应用,操控手机去访问一些网站,甚至可发起DoS攻击。

本文的评论功能被关闭了.