Стандарт связи Near Field Communication (NFC) предназначен для обмена данных на близком расстоянии. Так, например, работают некоторые проездные. И так же работают бесконтактные банковские карты, которыми оплачивают мелкие покупки без введения PIN-кода. Эта технология уже реализована в некоторых моделях смартфонов: с ее помощью удобно оплачивать скачиваемый контент.
Сегодняшний пресс-релиз Symantec сообщает: на сервисе Google Play «немецкий исследователь в области безопасности» выпустил приложение Android.Ecardgrabber, способное считывать данные бесконтактных карт на расстоянии. Приложение было размещено 13 июня, до удаления его успело скачать от 100 до 500 пользователей.
Приложение может узнать номер вашей карты, срок действия и номер банковского счета. Чтобы граббер заработал, смартфон, на который он установлен, нужно поднести к карте на 4 см или ближе. Но это не помешает злоумышленнику, втихую установив приложение через сеть, беспрепятственно снимать по чуть-чуть денег, каждый раз, когда вы сами будете пользоваться карточкой.
Анализ кода Android.Ecardgrabber показал, что его автор пытался взломать восемь разных типов пластиковых карт, причем дважды успешно. По его собственному утверждению, все получилось с MasterCard и A European Credit Card, а не получилось – с Visa V Pay, Cirrus, Maestro, Visa Electron и Visa. Специалистам Symantec не удалось заставить приложение считать данные с пластиковой карты, но пока ими была протестирована только польская карта Payless MasterCard. Правда, в программе не найдены средства извлечения кода безопасности карты. Но при том способе, которым оно работает, код и не нужен.
