biztons ag a near field communication...

Biztons�ag a Near Field Communicationszabv�anyaiban

Solt Benedek Pal, [email protected]

2010.11.

Absztrakt. Az NFC (Near Field Communciations) alapjai, felhasznalhatosaga. Az

NFC szabvanyai, es biztonsagi analızisuk. Lehetseges tamadasok, felmerulo problemak, es

vonatkozo megoldasok ismertetese.

1. Bevezet�es - Az NFC helyzete ma

Az NFC egy altalanos vezetek nelkuli technologia, melyben a kommunikaciohoz azeszkozoket csak egymas kozelebe kell helyezni, de fizikai kapcsolat nem szukseges.Mar Magyarorszagon is forgalomban vannak azok a mobiltelefon fajtak, amelyek az NFCsegıtsegevel hamarosan kivalthatjak a bankkartyakat vagy a belepteto kartyakat.Egyertelmuen a kontaktus nelkuli kartyake a jovo - olvashatjuk a Napi Gazdasag 2010.szeptemberi cikkeben. A fizetesi szokasok es fizetesi megoldasok nagyon komoly valtozasokelott allnak, es nem csak azert, mert folyamatosan csokkennek hazankban a kartyahasznalattalkapcsolatos felelmek. A gyartok rendre uj technikai megoldasokkal allnak elo, amelyekkenyelmesebbe es biztonsagosabba teszik a felhasznalok eletet.Ma mar szamos NFC alkalmazas letezik, mint peldaul vasarloi- es jegyrendszerek. Akozeljovoben az NFC kepes mobilok akar a hagyomanyos penztarca kivaltoi lehetnek, afelhasznaloi kenyelem jegyeben. Azonban egy fizetest lebonyolıto NFC felhasznalashozalapveto elvaras, hogy a megfelelo biztonsag biztosıtva legyen.

1.1. NFC Forum

Az NFC Forum az NFC-hez kapcsolodo eszkozok es mas vezetek nelkuli technologiakegyuttmukodeset segıto non-profit egyesulet, amely 2004 ota mukodik. Implementacioses szabvanyosıtasi javaslatokat keszıtenek.

1.2. GSMA Mobile NFC kezdemenyezes

2007-ben a 218 orszagot lefedo GSM Association 700 mobiloperatorabol tizennegyenosszefogtak, hogy NFC alkalmazasokat fejlesszenek. A mobil piac 40%at kitevo resztvevokkozott szerepel peldaul a China Mobile, az AT&T, az Orange, a Telenor es a Vodafoneis.

1

Biztonsag a Near Field Communication szabvanyaiban

1. abra. A Pay Buy Mobile vızioja

1.3. Pay Buy Mobile

A Pay Buy Mobile az NFC es a fizetos rendszerek osszehangolasanak erdekeben jottletre. A kezdemenyezeshez tobb, mint 50 mobil operator csatlakozott ( 1. abra).1

1.4. ISIS szovetseg

A ISIS szovetseg a Verizon Wireless, AT&T es T-Mobile, a harom legnagyobb amerikaimobilszolgaltato 2010. novembereben megalakult kozos vallalkozasa. Celjuk a mobilokhitelkartyaszeru felhasznalasanak szeleskoru megoldasa, amely, ha megvalosul, az USAkorulbelul 200 millio felhasznalojat fogja erinteni.

1.5. Google Andriod es iPhone5 integracio

2010. November 15-en, Eric Schmidt a Web 2.0 Summit nevu esemenyen jelentette be azelso NFC-t tamogato platform megjeleneset, amely a kovetkezo, Gingerbread kodnevuAndriod lesz. Egyesek szerint az iPhone5 is beepıtett NFC tamogatassal rendelkezikmajd.

2. Szabv�anyok

Az NFC interfesz es protokoll az ECMA-340 [2] es masodik kiadasanak megfelelo ISO/IEC18092 [7] szabvanyokban szerepel NFCIP-1 neven. Ez definialja a modulacios semakat,a kodolast, az atviteli sebesseget, a keretformatumot, az utkozes-kezeles mikentjet,tovabba specifikalja a transport protokollt is, amely magaban foglalja a felek kezdetiszinkronizaciojat (e.g. kod, modulacio teren) valamint az adatcsere folyamatat.Az NFCIP-1-et kiegeszıtettek az ECMA-352 [1] es elso kiadasanak megfelelo ISO/IEC21481 [8] szabvanyokkal NFCIP-2 neven, amely lehetove teszi mind az ECMA-340 [2],mind pedig az ISO/IEC 14443 [11] es az ISO/IEC 15693 [12] szabvanyok szerinti kom-munikaciot. Az utobbi ketto a Proximity es Victimiy Card technologiaknak felel meg.2 Ilyenforman az NFC visszafele kompatibilis az eddigi RFID technologiakkal.

1http : //www.gsmworld.com/our − work/mobilelifestyle/mobilemoney/paybuymobile2A ket kartyafajta kozotti fo kulonbseg a hatotavolsagban van: mıg a PC 0-8 cmig, a VC 1-1,5

meterig olvashato le.

A biztonsagos elektronikus kereskedelem alapjai (BMEVIHIM219)


2. abra. Az NFC szabvanyok kapcsolata

Az RF interfesz, valamint a kapcsolatfelepıtes, -hasznalat es bontas konkret reszleteitaz ECMA-352 [1] altal hivatkozott harom szabvany tartalmazza. Az ECMA-352 [1]osszefogo szabvany leırja, hogy a harom alszabvanyban reszletezett kommunikacios modkozul hogyan valasszanak az eszkozok. A szabvanyok kapcsolata a 2. abran lathato.

2.1. NFC operacios modok

1. PCD3/VCD4 - ,,ıro/olvaso mod” az NFC eszkoz aktıv es olyan, mint egykartyaolvaso: ırhat es olvashat egy passzıv hordozot.

2. PICC5/VICC6 - ,,kartya emulalo mod” az NFC eszkoz passzıv, ıgy egy,,ıro/olvaso” modu masik eszkozzel tud kommunikalni, akarcsak egy kontakusnelkuli kartya.

3. NFC - peer to peer mod: a kommunikacios fellel felvaltva hol aktıv, hol passzıv.Ketiranyu kommunikacio zajlik (NFCIP-1). Az P2P modu adatcserere mutatpeldat a 3. abra.

Az operacios modok egy szemleltese lathato az 4. abran.

3. Alkalmaz�as t��pusok

3.1. Kontaktus nelkuli token (,,Touch and Get”)

Smart kartyarol, RFID cımkerol vagy egyeb passzıv targyrol egyszeru adatlekeres tortenik.Peldaul egy tag matrica, ami egy URL-re mutat (e.g. facebook oldal lajkolasa), vagywifi halozat konfiguraciojanak leırasat tartalmazza.

3Proximity Coupling Device4Vicinity Coupling Device5Proximity Inductive Coupling Card6Victimity Inductive Coupling Card



3. abra. Az NFC P2P modban

4. abra. NFC operacios modok



5. abra. Jegyvasarlas NFC-vel

3.2. Mobil fizetes (,,Touch and Confirm”)

A kozeltartas utan felhasznaloi hozzajarulas eseten megtortenik a tranzakcio. Hagyomanyosesetben az osszeg a mobil szamlat terheli, de elkepzelheto az is, hogy maga a mobil, mintegy hitelkartya mukodjon. Egy peldat mutat a 5. abra.

3.3. Beleptetes vagy jegykezeles (,,Touch and Go”)

Egy biztonsagos eszkozon elektronikus jegyet, elektronikus penzt tarolunk (e. g. Smartkartyan vagy SIM kartyan). Miutan az olvaso megkapja, ellenorzi, es az alapjan vagyelfogadja, vagy elutasıtja az akciot.

3.3.1. Azonosıto iratok

Hasonloan az RFID-vel ellatott utlevelhez, elkepzelheto NFC kepes okirat is. A rovidebbhatotavolsag miatt kisebb a nyomonkovethetoseg veszelye, ugynakkor a kenyelmes elek-tronikus azonosıtasra eppugy alkalmas, mint a szimpla RFID tag.

3.3.2. Elektronikus kulcsok

Szemelyi gepjarmu-, lakas-, szoba-, biciklikulcs digitalis helyettesıtoje lehet egy biz-tonsagos elemen tarolt vedett bitsorozat, amely NFC-s adatcserevel nyitja ki a zarat.



6. abra. A mobil szavazo rendszer elkepzelt megvalosıtasa

3.3.3. Mobil szavazas

Kerem Ok [13] terveztek egy komplett NFC-re epulo elekronikus szavazorendszert. Arendszerterv es az elkepzelt megvalosıtas a 6. es 7. abrakon lathato.

3.4. Eszkozparosıtas (,,Touch and Connect”)

Adott ket Bluetooth parbeszedre alkalmas keszulek, amelyeket ossze szeretnenk kotni- lehetoleg minel egyszerubben. Amikor egymas kozelebe helyezzuk oket, az NFC-kapcsolat kevesebb, mint egytized masodperc alatt letrejon, majd az NFC alkalmazasbeallıtja a Bluetooth osszekottetest, megsporolva ezzel a manualis Bluetooth kapc-solodaskor megszokott aktivalas, kereses, parosıtas, hitelesıtes hosszadalmas lepeseit.A ket eszkozt eltavolıtva az NFC-kapcsolat vegeter, es a parbeszed a Bluetooth linkenfolytatodik tovabb.Ehhez hasonloan elkepzelheto mas vezeteknelkuli technologiaju eszkozok, e.g. Wi-Fivagy Ultra-wideband parosıtasa, csatlakoztatasa is.

4. Fizikai r�eteg - adat�atvitel

Az atvitel az RFID-nel megszokott modon magneses indukcios mezoben tortenik, amelyket antenna tekercs korul jon letre. Az NFC eszkozok tehat egyidoben vehetnek eskuldhetnek, ami lehetove teszi a csatornafigyelest es az utkozesdetektalast.



7. abra. A mobil szavazo rendszer vazlatos rendszerterve

4.1. Frekvenciasav

13,56 MHzes ISM sav +/- 7MHz, azaz 14Mhzes savszelesseggel.

4.2. Sebesseg

Az ECMA-340 [2] szabvany harom kulonbozo bitratat definial: 106, 212 es 424 kbps.Ez egy Bluetooth V2.1 kapcsolat 2.1 Mbpsos bitratajahoz kepest egy nagysagrenddelkisebb. Ebbol is latszik, hogy az NFC-t nem a nagy sebessegu adatatvitelre terveztek.Elonye inkabb a kenyelmes, gyors kapcsolatfelepıtes. E tekintetben inkabb az alacsonyenergiaju Bluetooth V4.0-re hasnolıt (200 kbps, 1m hatosugar).

4.3. Modulacio es kodolas

A bitatvitel a vivofrekvencian amplitudo modulacioval (ASK) tortenik. A szimbolumratatoles modtol fuggoen ketfele kodolas lehetseges, ahogy a 8. abran latszik.

A kodolas es az adatsebesseg kapcsolata a 1. tablazatban szerepel.

Szimbolumrata Aktıv eszkoz Passzıv eszkoz424 kBd Manchester, 10% ASK Manchester, 10% ASK212 kBd Manchester, 10% ASK Manchester, 10% ASK106 kBd Modified Miller, 100% ASK Manchester, 10% ASK

1. tablazat. A kodolas es a sebesseg kapcsolata



8. abra. A ketfele kodolas

4.4. Hatotavolsag

Az NFC vezetek nelkuli kommunikacioja a szabvany szerint 10 centimeteres tavolsagkorlattalmukodik. Tapasztalatok szerint ez a gyakorlatban 2-4 cm.

4.5. Kommunikacios mod

A kommuncikacios felek ketfele modban uzemelhetnek: aktıv vagy passzıv. Az aktıveszkozok sajat RF mezot generalnak, sajat aramforrassal rendelkeznek, mıg a passzıvakegy masik eszkoz RF mezojebol kapjak az energiat, es a meglevo RF mezot modosıtvavalaszolnak (e.g. Smart kartya).

A eszkoz B eszkoz LeırasAktıv Aktıv A kuldo eszkoz generalja az RF mezot. A masik fel fogadas

elott kikapcsolja a sajat mezojet. Igy a radios kozeg kapcsol-gatasszeruen valtakozik.

Aktıv Passzıv Az RF mezot csak az A eszkoz generalja.Passzıv Aktıv Az RF mezot csak a B eszkoz generalja.

2. tablazat. Kommunikacios modok ket fel eseten

4.6. NFC szerepek

Az uzenetvaltas szerint az eszkoz lehet kezdemenyezo (initiator) vagy celpont (tar-get), aszerint, hogy melyikuk kuldi az elso uzenetet. Passzıv eszkoz termeszetesen nemkezdemenyezheti az adatcseret. Egy kezdemenyezo tobb celponttal felvehet kapcsolatot.Ilyenkor kuldes elott kivalasztja, hogy ki fogadja az uzenetet.



5. Fizikai r�eteg - Veszedelmek

5.1. Lehallgatas

Vezetek nelkuli kommunikaciorol leven szo, megfelo antennaval, es a szabvany kello is-meretevel egy tamado kepes lehet az atvitt adatok megfigyelesere, az NFC csatornamonitorozasara. Egyetlen nehezseg, hogy ehhez adott kozelsegben kell lennie az NFCeszkozokhoz. Ez szamos parametertol fugg (adok, vevok minosege, karakterisztikaja,kornyezet zajszintje), am Haselsteiner & Breitfuss [6] szerint aktıv modban kuldottuzenetet legfeljebb 10m, passzıv modban kuldottet legfeljebb 1m messzesegbol lehetelfogni.

5.2. Adattorles

A tamado a hallgatozas mellett megfelelo kozelsegben kepes lehet az RF mezot ugyzavarni, hogy a kuldott adat lenyegeben erthetetlenne valjon. Ezt ugy erheti el, ha amodulacios sema, valamint a kodolas ismereteben a vivofrekvenciakon megfelelo idobenkuld kiolto hatasu jeleket. Ez egy nem tul bonyolult DoS (Denial of Service, szolgaltatasmegtagadasa) tamadas.

5.3. Adatmodosıtas

Ennek kivitelezhetosege az alkalmazott modulaciotol nagyban fugg.A 100%os ASK eseten ahhoz, hogy egy 0-t 1-e alakıtsunk (vagy fordıtva) a kovetkezot kelltenni. Egyreszt a szunetet (nulla jelerosseg) tartalmazo felbit idejeben vivofrekvenciatkell kuldeni. Ez konnyen megoldhato. Masreszt viszont a vivofrekvenciat tartalmazofelbit idejeben egy, az eredetit pontosan kiolto hatasu jelet kellene hozzatenni. Ez utobbigyakorlatilag lehetetlen.Bar csak a kitoltes tunik lehetsegesnek, a modosıtott Miller-kodolas eseten az atvitt 11-ek ıgy is modosıthatok: ha a negyedik felbitet kitoltjuk, akkor a vett jel 10 lesz.A 10%os ASK eseten a vevo meri a jelszinteket (82% es 100%) es osszehasonlıtja oket.Amennyiben az engedelyezett amplitudo intervallumon belul vannak, elfogadja az adottbitet, egyebkent hibat eszlel. A 10%os ASK modulacional minden bit modosıthato. Haa 82%os reszhez annyi erosseget adunk, hogy az aranyok pont megforduljanak (es ez azerosseg meg a megengedett veteli amplitudo intervallumban van), akkor ellentetes bitvetelet erjuk el.

5.4. Adatok beszurasa

Ez csak akkor kepzelheto el, ha az egyik eszkoz valasza elott eleg sokaig var vagy szamol.Ilyenkor a tamado az eredeti uzenet kuldese elott atkuldhet egy plusz uzenetet. Ha



9. abra. A relay attack vazlata

azonban nem sikerul idoben befejeznie a beszurt adat atvitelet, utkozes tortenik, ıgy avevo mind az eredeti, mind pedig a beszurt uzenet eldobja.

5.5. Klasszikus Man-in-the-Middle tamadas

Tegyuk fel, hogy A eszkoz aktıv, B eszkoz passzıv modban van, es C tamado szeretnekozejuk ekelodni. A es B eszkoz egymashoz fizikailag kozel vannak.Amikor A kuld, C lehallgatja. Ekozben zavarnia kell az adast, hogy B a lehallgatottuzentet meg ne kaphassa meg. Itt rogton elbukhat a probalkozas, ha B eszreveszi azaktıv zavarast.Tegyuk fel, hogy B nem ellenorzi a csatorna zavarasat. Ekkor C megprobalhat kuldenineki egy modosıtott uzenetet. Mivel azonban A RF mezoje is aktıv, ket RF mezo fogletesulni egy idoben es helyen. Ez gyakorlatilag lehetetlenne teszi, hogy B megkapja Cuzenetet.Ha azonban mindket eszkoz aktıv, akkor ezen a ponton A lekapcsolja az RF mezojet, ıgyC szabadon kuldhet. Csakhogy C uzenetet A is hallani fogja, es raadasul B-tol erkezouzenetkent probalja ertelmezni. Ezen fenyeben Haselsteiner & Breitfuss [6] megallapıtja,hogy egy esetleges MitM tamadas sikerenek valoszınusege elhanyagolhato. A kovetkezotamadas kombinalasaval azonban egyaltalan nem lehetetlen egy MitM konstellacio.

5.6. Atjatszas vagy feregjarat

Miutan az NFC is a feltetelezett kozelsegre epul, mas vezeteknelkuli kornyezet mintajaraitt is felmerul feregjarat problemaja. A tamado sajat csatornajan valos idoben tovabbıtminden jelet egy tavoli olvaso es egy NFC tag kozott, amelyek ıgy egymas kozeleben,,hiszik” magukat.Az ,,ıro-olvaso” es ,,kartya emulacios” NFC modokban, az RFID-nel mar korabbanmegkonstrualt tamadas egy az egyben alkalmazhato. A tamadas Weiss [15] altal meg-valosıtott valtozatanal elvet a 9. abra, a gyakorlati megvalosıtast pedig az 10. abramutatja.



10. abra. A relay attack megvalosıtasa

11. abra. Relay attack P2P modban

5.7. Atjatszas P2P modban

Mivel az eszkozok a szabvany szerint kozel vannak egymashoz, elsore nehez elkepzelniegy atjatszasos tamadast ebben az esetben. A kozelseget a felhasznalo is ellenorzitudja, es csak ilyenkor egedelyezi a kapcsolatot. Ha egy nem letezo telefon szeretnehozza csatlakozni, az valoszınuleg minden felhasznalonak feltunne. Azonban ket ujabbkeszulekbevonasaval mar megvalosıthato itt is a tamadas. Francis et al. [5] megmutattakegy lehetseges konstellaciot, amelyhez csak negy telefonra es egy alkalmas java MIDletmegırasara volt szukseguk. A trukkos megoldas az 11. abran latszik.

5.8. Atjatszasos Man-in-the-Middle tamadas

Amennyiben a tamado nem ket egymashoz fizikailag kozel levo eszkoz koze szeretneekelodni, hanem mondjuk egy feregjaraton keresztul, akkor mindaz, amit Haselsteiner



& Breitfuss [6] ırt mar nem akadalyozza meg a tamadast. Az atjatszas megvalosıtasautan a MitM tamadas nem sok bonyodalmat nem okoz.

6. Fizikai r�eteg - javasolt v�altoztat�asok

6.1. Lehallgatas

Egyedul egy biztonsagos csatorna kiepıtese oldja meg, amely termeszetesen tobb masproblemanak is egy lehetseges orvoslasa lesz.

6.2. Adattorles

Mivel egy kuldott jel elrontasahoz szukseges energia nagysagrenddel nagyobb, mintami egyebkent a kommunikacioban a vetelhez kellene, ez a tamadas aktıv figyelesseleszreveheto.

6.3. Adatmodosıtas

Ha a kuldo fel ellenorzi a csatornat a sugarzas kozben, szinten eszreveheti, hogy valakimegvaltoztatta a jelaranyokat.

6.4. Adatok beszurasa

Egyreszt elkerulheto ugy, hogy az eszkoz keslekedes nelkul valaszol, mareszt ugy, hogya valaszt megelozo varakozas soran figyeli a csatornat.

6.5. Atjatszas vagy feregjarat

A mas kornyezetben mar kidolgozott megoldasok itt is alkalmazhatok, mint peldaul atavolsag-becslo es korlatozo (distance bounding) protokollok.

6.6. Biztonsagos csatorna kiepıtese NFC-ben

A Diffie-Hellmann-fele kulcscsere protokoll egy lehetseges megoldas, amely azonbanhıresen jol tamadhato MitM-lel. Ha viszont nincs kozbeekelodes, akkor a kulcscseretkovetoen letrejott osztott titokkal, szimmetrikus kulcsu titkosıtassal elerheto a tovabbikommunikacio megbızhatosaga, integritasa es hitelessege.



6.7. Egy specialis kulcscsere protokoll NFC-hez

Haselsteiner & Breitfuss [6] javasolt egy olyan NFC-specifikus kulcscsere folyamatot,amely nem igenyel publikus kulcsu kriptografiat, ıgy joval gyorsabb.Tegyuk fel, hogy 100%os ASK-t hasznalunk. Megfeleloen pontos szinkronizacio utanmindket fel egyszerre kuld egy veletlen szamot. Mikozben figyeli a csatornat, meg-tudhatja, hogy a masik mit kuldott.Ezutan eldobjak azokat a biteket, ahol ugyanazt kuldtek (mindketten egyest vagy nullat),hiszen ilyenkor kulso megfigyelo megallapıthatja, hogy mi tortent. Ellentetes bitekeseteben viszont a tamado a kapott egyvelegbol keptelen kovetkeztetni, hogy melyikfel melyiket kuldte.A kozos titok - megegyezes szerint - lehet az A vagy a B altal kuldott veletlen is.Atlagosan a bitek felebol lesz titkos informacio, ıgy egy 128 bites kulcshoz korulbelul256 bit atvitele szukseges7. Ennek persze feltetele, hogy amplitudoban es fazisban isteljesen egyezzen a ket eszkoz.8

7. Alkalmaz�asi r�eteg - NFC mobilok

Egy NFC kepes mobilban integralt NFC-chip es esetleges Smart Kartya talalhato. AzNFC-alrendszer, bekapcsolt allapotban folyamatosan pasztazza a teret NFC-tagekrevadaszva.Amikor talal, es leolvas egyet, az infomraciot a futo NFC kepes alkalmazasnak, vagy, hanincs ilyen, a mobil OS-nek tovabbıtja feldolgozasra. Az NFC-mobil fontosabb reszeites kapcsolatait muatatja az 12. abra. Jol latszik, hogy a biztonsag kerdese nem csakaz NFC szabvanyaiban erdekes, hanem az osszes tobbi osszetevonel, valamint a koztuklevo kapcsolatok eseteben is.

7.1. Az NDEF adatformatum

Az NFC-tagek altalaban az NFC Forum altal definialt altalanos tarolasi strukturat, azNFC Data Exchange Formatot hasznaljak, amely fuggetlen a tag tıpusatol. Az NDEFuzenet egy vagy tobb rekordbol all. Egy rekord tartalmaz adatot, valamint az adatravonatkozo tıpusinformaciokat (e.g. MIME-tıpus). A rekordokat a RTD - Record TypeDefinition ırja le.Az uzenet elso rekordja altalaban egy RTD, amely az uzenet ertelmezeset teszi lehetove.Az NDEF Forum nehany konkret adatformatumot is meghataroz, ilyenek az URI, aTEXT es az osszetett Smart Poster rekordok9. Az URI lehet egy HTTP-URL, vagytelefon- illetve sms-szam, mıg a TEXT valamilyen olvashato informaciot reprezental. A

7Ez 106kBaud sebessegnel hozzavetolegesen 2.4 ms.8Valojaban az is eleg, hogy ha kulonbseg joval a kulso zajszint alatt van.9Pontos leırasok: http://nfc-forum.org



12. abra. Egy NFC kepes mobil fontosabb reszei

Smart Poster egy URI-bol es egy TEXT-bol all.

8. Alkalmaz�asi r�eteg - t�amad�asok

8.1. Mobil GUI DoS

A Magyarorszagon is kaphato, NFC-kepes Nokia 6131 eseteben [14] megmutatta, hogyegy rosszul formazott NDEF rekord – amelyben az adathossz mezo tartlama 0xFFFFFFFEvagy 0xFFFFFFFE – a GUI ujraindulasat eredmenyezi. Sorozatban a negyedik alka-lommal pedig a mobil egyszeruen kikapcsol.Ugynevezett off-by-one10 hibat talaltak sms- es telefonszam-ertelemezeskor. Amenny-iben pontosan 124 hosszu a szam, elobbihez hasonlo crash tortenik, mıg ennel hosszabbszamnal sima hibauzenet jelenik meg.Az ilyen tamadas felhasznalhato egy adott NFC szolgalatas ellen. Ha a kihelyezett NFCtag matricak melle/fole ragasztanak DoS tageket, akkor a gyakori kudarcelmeny miatta vasarlok bizalma megrendul a szolgalatoban, vegul senki sem fogja igenyben venni avadonatuj NFC szolgalatast.

10http://en.wikipedia.org/wiki/Off-by-one error



8.2. Smart Poster URL spoofing

Eredeti Smart Poster:

Title: OTP Bank

URL: https://otp.hu/

Modosıtott Smart Poster:

Title: OTP Bank\rhtpps://otp.hu/\r\r\r\r\r

URL: http://www.gonosz_oldal.hu/

A keszulek az URL-t a cım alatt egy sor kihagyassal plain textkent jelenıti meg. Amodosıtott tag cıme a kis kepernyon a sorkihagyasok beszurasa miatt azonos alakbanjelenik meg, es kitolja a kepbol az modosıtott URL-t.Termeszetesen, ha felhasznalo legorget, akkor eszreveszi a turpissagot. Azonban az NFCelonye eppen a gyors es kenyelmes hasznalat, jelen esetben, hogy ne kelljen az URLbegepelesevel es ellenorzesevel bajlodni. Emiatt az altag felhasznalo varhatoan nemvenne eszre, hogy hamisıtott Smart Posterrel van dolga.

8.3. Man-in-the-Middle a weben

A Smart Poster URL spoofingra epulve elkepzelheto egy webes MitM tamadas, ahol ahamis oldal egy proxy, amely peldaul adathalaszatra van felkeszıtve. Ez mobilbongeszokeseten kulonosen jol hasznalhato, hiszen a legtobb programban a netezes kozben nemjelenik meg a cımsor.

8.4. Smart Poster SMS/telefon URI spoofing

Hasonloan az elozoekhez, amennyiben egy hıvoszam szerepel a Smart Posterben, atamado a meghamisıtasaval elerheti, hogy a felhasznalok az eredeti szam helyett egymasik, mondjuk emelt dıjas szamot hıvjanak. Eredeti Smart Poster:

Title: Turista Informacio

URL: 003620456789

Modosıtott Smart Poster:

Title: Turista Informacio\r003620456789\r\r\r\r\r

URL: 0036909998888



8.5. Egy NFC worm receptje

[14] felismert egy hibat a szabvanyosıtott NFC Java API-ban (JSR-257) a PushRegistry-ben, amely a leolvasott NDEF informaciot tovabbıtja az alapertelmezett kezeloalkalmazasnak.Egy alkalmazas ugyanis beregisztralhatja magat, mint az osszes NDEF URI feldolgozoja(urn:nfc:wtk:U). Igy peldaul a Smart Postert nem erheti el mas alkalmazas rajta kıvul.Az altala kifejlesztett NFC worm kovetkezokepp mukodik. Eloszor a fenti modon bereg-isztralja magat, majd minden tag olvasaskor megprobalja felulırni az eredeti taget egyURL spoofingolt Smart Posterrel. A hamisıtott tag a worm kodjanak letoltesi helyeremutat.Amikor egy masik felhasznalo leolvasva a fertozott taget, gyanutlanul engedelyezheti aletoltest, es a letoltott .JAR fajl futtatasat. Ekkor az o keszuleke is fertozott es egy-ben fertozokepes lesz, ugyanakkor az eredeti tranzakcio is lefut. A tamadas tovabbifinomıtasa, hogy az elso letolteskor egy sutit is kuld a worm-szerver. A tovabbi fertozotttag leolvasasok eseten, amikor mar jelen van a suti, a worm-szerver atiranyıt az eredetiURL-re, ahonnan mar leoltes nelkul tortenhet az elvart tranzakcio.

Title: OTP Bank\rhtpps://otp.hu/\r\r\r\r\r

URL: http://www.gonosz_oldal.hu/nfc_worm?original_url=htpps://otp.hu/

8.6. Kave automata social engineering

[14] kitalalt egy trukkos tamadast NFC segıtsegevel is hasznalhato kiszolgalo automatakhoz.Az sms alapu vasarlas ugy zajlik, hogy a kiszolgalogep azonosıtojat (e.g. SNACK257) elkell kuldeni SMSben, majd ezt kovetoen az automatan ki lehet valasztani a kıvanttermeket. Hogy az sms kuldest kenyelmesebbe tegyek, NFC tageket helyeztek el agepeken, hogy a szamokat ne kelljen beırni.A kitalalt tamadas celja, hogy valaki mas penzebol vegyunk kavet.A tamado keszıt egy hamis teget, amelyet ideiglenesen az A automatara ragaszt azeredeti cımke fole. Ez a tag a B automata kodjat tartalmazza Smart Poster SMS spoof-ingolva.Amikor valaki vesz egy kavet az A automatanal, a B automatan gyullad ki a zoldlampa, es az ott varakozo tamado valaszhat termeket. A jogos vasarlo bosszankodnifog, de velhetoen nem tudja eldonteni, hogy mi volt a hiba. Kesobb, miutan a tamadomegitta a kavejat, leszedheti a hamis taget, hogy masoknal mar ne okozzon fennakadast.

8.7. Keszulek elhagyasa

A legegyszerubb, talan nem is biztonsagi problema, amikor a mobiltelefont elvesztikvagy ellopjak.



Annyiban rosszabb, mint egy bankkartya elhagyasa, hogy egy bekapcsolt telefon tobb-nyire nincs PIN koddal vedve, ıgy egyben az osszes rajta levo kulcs, penz, jegy es egyebertekek elveszteset is jelenti.Ezeket raadasul utolagosan letiltani vagy ervenytelenıteni sem biztos, hogy lehet, folegoffline rendszerek eseteben. Szemben a bankkartyaval azonban a mobilunk elhagyasat afolyamatos hasznal miatt elobb eszrevesszuk, ami gyorsabb reagalast tesz lehetove.

9. NFC-SEC standards

Ahogy az eredeti szabvanyok ,,oregedtek”, es megjelentek a biztonsagot targyalo kulonfelecikkek, hamarosan megszuletett a szabvanyok biztonsagi verzioja is.Az ECMA-385 [3] es 2010. juniusaban megjelent masodik kiadasanak megfeleloje, azISO/IEC 13157-1 [9] szabvanyok specifikaljak az NFC-SEC szolgalatasait es protokoll-jait, amely egy biztonsagos csatorna kiepıteset teszi lehetove elozetesen megosztott titoknelkul.Az ECMA-386 [4] es 2010. juniusaban megjelent masodik kiadasanak megfeleloje, azISO/IEC 13157-2 [10] az NFC-SEC-hez konkret kriptografiai algoritmusokat es uzenet-formatumokat definial NFC-SEC-01 neven.Az egesz rendszer lenyege, hogy modularis felepıtesu, azaz az ujabb algoritmusokathasznalo tovabbi szabvanyok szinten az NFC-SEC-re epulhetnek majd ra.

9.1. NFC-SEC szolgalatatasok

Az NFC-SEC alapvetoen ket fo szolgalatast ır elo.

1. SCH (Shared Channel Service): biztonsagos csatornakiepıtes.

2. SSE (Shared Secret Service): kozos osztott titok letrehozasa a felsobb retegekszamara.

Mindket szolgaltatast kulcsmegegyezes es kulcskonfirmacio eloz meg. A szolgalatasokattetszoleges sorrendben es akarhanyszor meg lehet hıvni.

9.2. NFC-SEC-01 hasznalt algoritmusai

1. Kulcscsere Elliptic Curve Diffie-Hellman (ECDH) 192bites kulccsal.

2. Kulcsszarmaztatas AES-XCBC-PRF.

3. Kulcskonfirmacio AES-XCBC-MAC-96.Eredmenye: 128bites AES kulcs.



13. abra. NFC-SEC-01 kulcscsere protokollja

4. Titkosıtas 128 bites AES CTR modban. IV Init: AES-XCBC-PRF-128.

5. Intergritasvedelem XCBC-MAC-96

Az NFC-SEC egyik elonye, hogy minden kriptografiai primitıvet korabbi, jol mukodo,szeles korben tesztelt ISO szabvanyokbol valasztattak ki.

9.3. NFC-SEC-01 kulcskezelese

A hasznalt kulcsokat es szerepuket a 3. tablazaton olvashatjuk. Latszik, hogy akulonbozo funkciokhoz kulonbozo kulcsok tartoznak. Igy a kulcskompromittalodas hatasabehatarolt.

Nev Leıras HasznalatMKSCH mester kulcs a SCH kulcs ervenyesıteshezKESCH kodolo kulcs a SCH titkosıtashozKISCH integritasvedo kulcs a SCH integritasvedelmehezMKSSE SSE mester kulcs a felsobb reteg szamara keszult

kulcs

3. tablazat. NFC-SEC-1 kulcstıpusai

9.4. NFC-SEC-01 kulcscsere protokoll

A 14. abra a kulcscsere szekvenciadiagramjat tartalmazza. A z kozos tikok az ECDHkimenete. A QX ertekek az ECDH parameterei. A MacTaget a mindket fel a kozos



14. abra. NFC-SEC-01 adatcsere protokollja

MK kulccsal szamolja.Mindket fel resztvesz a kozos titok letrehozasaban veletlen szam hozzaadasaval, amivelketiranyu kulcsfrissesseget biztosıt. Masreszt ez biztosıtja az egyes szolgalatas-hıvasokfuggetlenseget, hogy mindig uj, addig nem hasznalt kulcsok keletkeznek. Mindket felhitelesıti a tranzakcio integritasat a kiszamıtott MacTag atkuldesevel.

9.5. NFC-SEC-01 adatcsere protokoll

A 14. abra mutatja az adatcsere menetet a kiepult biztonsagos csatornan. Latszik,hogy gondoltak a visszajatszas-vedelemre, hiszen minden uzenet a csatornan egyedisorszammal rendelkezik, amelyet le i ellenoriznek. Az SNV egy 0 es 224–1 kozotti szam,amely 0-rol indul. Az SCH csatornat le kell allıtani, ha az SNV elerte (224 − 1)-et.Amikor kiepul az SCH, a fogado fel beallıtja SNV -jet a kuldovel egyezore. Uj uzenetadasakor a kuldo eggyel noveli SNV -jet, es azt kuldi at. A fogado sajat (SNV + 1)-etvar, egyebkent eldobja az uzenetet. Hiba eseten a felhasznalot ertesıti mindket keszulek,es az eldontheti, hogy az SCH-t ujraepıti, vagy egyszeruen leallıtja a tranzakciot.Igy tehat biztosıtott, hogy semmikeppen nem forduljon elo ugyanaz az SN egy adottSCH-ban, azaz egy adott kulcscsoport eleteben.

9.6. NFC-SEC-01 hatranya

Amint azt maguk a protokoll keszıtoi is megjegyeztek, az NFC-SEC-01 MitM tamadasellen nincs felkeszulve.Ugyanakkor elkepzelheto es egyben varhato egy NFC-SEC-XX szabvany, amely marvedekezik ellene. A modularis szabvanyszerkezet miatt nem kell az egesz rendszertujratervezni.



�Osszefoglal�as

Az NFC technologianak szamos alkalmazasa lehetseges, amelybol nehanyat mar meg-valosıtottak, teszteltek, sot uzembe is helyeztek.A felhasznalhatosagi kore azert ennyire nagy, mert kompatibilis korabbi RFID tech-nologiakkal, kepes ırokent, olvasokent es P2P modban is mukodni. Tovabba egy NFCkepes mobiltelefon kapcsolatot teremthet minden mas vezeteknelkuli technologiaval, azelhelyezett passzıv tageken keresztul a kulvilag kulonbozo targyaival, es mindebbe a fel-hasznalot is aktıvan bevonhatja.Mivel a fobb alkalmazasi teruletek fizeteshez vagy azonosıtashoz kotodnek, a biztonsagletfontossagu kerdes. Az NFCIP-1 szabvanyban nincs semmilyen adatkapcsolati retegbelibiztonsag, ıgy szinte barmilyen tamadasnak ki van teve. Az NFC-SEC szabvanyban abiztonsagos csatorna kiepıteset es kozos titok letrehozasat megoldottak, azonban a MitMtamadas tovabbra is lehetseges.Ugyanakkor szamos pelda mutatta, hogy mindez keves egy NFC-re epulo valos rend-szer biztonsagahoz, mivel ez szamos mas osszetevon is mulik, peldaul a felhasznaloktajekozottsagan, az alkalmazas, vagy a mobiltelefon biztonsagan.

Hivatkoz�asok

[1] ECMA 2003, ECMA-352: Near Field Communication - Interface and Protocol-2(NFCIP-2)

[2] ECMA 2004, ECMA-340: Near Field Communication - Interface and Protocol(NFCIP-1)

[3] ECMA 2010a, ECMA-385: NFC-SEC: NFCIP-1 Security Services and Protocol, 2ndedition

[4] ECMA 2010b, NFC-SEC-01: NFC-SEC Cryptography Standard using ECDH andAES, 2nd edition

[5] Francis, L., Hancke, G. P., Mayes, K., & Markantonakis, K. 2010, Practical NFCPeer-to-Peer Relay Attack using Mobile Phones, Istanbul, Turkey

[6] Haselsteiner, E. & Breitfuss, K. 2006, Security in Near Field Communication (NFC)

[7] ISO 2004, ISO/IEC 18092-4. Near Field Communication – Interface and Protocol(NFCIP-1)

[8] ISO 2005, ISO/IEC 21481. Near Field Communication – Interface and Protocol-2(NFCIP-2)

[9] ISO 2010a, ISO/IEC 13157-1: NFC-SEC: NFCIP-1 Security Services and Protocol,2nd edition



[10] ISO 2010b, ISO/IEC 13157-2: NFC-SEC-01: NFC-SEC Cryptography Standardusing ECDH and AES, 2nd edition

[11] ISO 14443 2000, Identification cards – Contactless integrated circuit(s) cards –Proximity cards

[12] ISO 15693 2000, Identification cards – Contactless integrated circuit(s) cards –Vicinity cards

[13] Kerem Ok, Vedat Coskun Mehmet, N. A. 2010, Usability of Mobile Voting withNFC Technology, Washington, DC, USA

[14] Mulliner, C. 2009, Vulnerability Analysis and Attacks on NFC-enabled MobilePhones

[15] Weiss, M. 2010, Performing Relay Attacks on ISO 14443 Contactless Smart Cardsusing NFC Mobile Equipment, Munich, Germany


biztons ag a near field communication...

Documents