2019/11/06

Android の脆弱性:NFC と Android Beam

2019 年 11 月 6 日 Emil Hozan 著

Nightwatch Cybersecurity の Y. Shafranovich 氏が、Android のバージョン 8.0 以降に影響する NFC(Near Filed Communication)に存在する脆弱性について投稿しました。NFC テクノロジを利用して構築された Android の機能の中に、至近距離でデータを共有するための、Android Beam と呼ばれる機能があります。NFC の有効範囲は約 4cm (1.5 インチ)であるため、大したことがないように思えますが、脅威となるには十分な距離です。セキュリティのこととなれば、たった 1 インチが攻撃者にとっての 1 マイルにもなり得ます。

ここで怖いのは、Android ベースの POS システムが攻撃された際に、両方の機能がオンになっている状態で支払いが行われた場合です。具体的には、2 つの異なる設定が存在し、Android Beam を有効にするには、前提として NFC を有効にする必要があります。2012 年にもこれに類似する脆弱性が発見されており、Charlie Miller 氏という研究者が、NFC と Android Beam の脆弱性を悪用して Android デバイスで Web 要求を自動的に開始することに成功し、これによって、攻撃者が管理する Web サーバへと要求を送信されてしまう恐れもあります。そして、さらに恐ろしいのは、その場合にユーザの介入を必要としなかったという事実です。

以上の点から、NFC を有効なまま放置しないことが重要であり、さらに言えば、どのようなサービスであっても、実際に使用する時以外にオンのままにしないことです。私の場合、Wi-Fi、Bluetooth、NFC がこれに該当します。無線テクノロジには長所と短所があり、残念ながら、知られていない短所こそがゼロデイの脆弱性が発生する場所であり、悪意のある攻撃者が目をつける部分でもあるのです。