سه شنبه 1396/آبان/2

خطرات امنیتی ارتباطات بی سیم

متن کامل خبر

تهران - ایرنا - اگرچه NFC یا ارتباط میدانی نزدیک به عنوان تکنولوژی بدون تماس و بی سیم برای ارسال اطلاعات یا پرداخت های الکترونیک مزایایی دارد اما با تهدیدات متعددی نیز روبه روست.

به گزارش ایرنا ازسازمان فناوری اطلاعات ایران، با الصاق یک چیپ NFC درون یک تلفن هوشمند, می توان کیف پولی مجازی، ایجاد نمود به این ترتیب که کاربران قادر باشند مشخصات حساب بانکی خود را در آن ذخیره کرده و در هنگام خرید تنها با نزدیک کردن گوشی هوشمند خود به دستگاه کارت خوان قادر به پرداخت باشند.

NFC شباهت زیادی به تکنولوژی RFID دارد. یک چیپ کوچک NFC در داخل یک گوشی تلفن هوشمند و یا هر وسیله ی دیگری با ایجاد میدان الکترومغناطیسی قادر به برقراری ارتباط با یک دستگاه کارت خوان, یک پوستر هوشمند یا حتی تگ چسبانده شده به یک تبلیغ, و خواندن اطلاعات از روی آنها است .

از زمانی که NFC قابلیت ارتباط بدون تماس، جهت انتقال اطلاعات را فراهم نموده است در معرض تهدیدات امنیتی قرار گرفته که در ادامه اشاره ای به این تهدیدات خواهیم داشت.

تهدیدات بایستی در برد محدودی معمولا در حد چندین سانتی متر بررسی گردند اما همواره امکان دریافت سیگنال های کاربردی در محدوده یک متری و یا بیشتر بسته به نوع سیگنال نیز، توسط مهاجمین وجود دارد.

اولین تهدید، امکان شنود داده انتقال شده, توسط مهاجم است . شنود یا قطع ارتباط برقرار شده و دسترسی به داده های درحال انتقال اتفاق می افتد در صورتی که داده در حال انتقال اطلاعات حساب کاربردی و یا مشخصات شخصی باشد مهاجم دسترسی کامل به این اطلاعات حساس خواهد داشت که راه حل ممکن و آسان جهت حل این مشکل, رمز نگاری داده های جابه جا شده بر روی بستر NFC است. 

مشکل امنیتی بعدی قطع یا انحراف داده های ارسالی است. که در واقع نوعی حمله ممانعت از سرویس دهی (denial of service) است که در آن مهاجم جریان داده های در حال انتقال را بر روی بستر ارتباطی قطع می نماید، مقابله با این نوع به مراتب سخت تر از حالت های دیگر است به همین جهت رمزنگاری داده ها قبل از انتقال و یا ترکیب داده های ارسالی با داده های کنترلی می تواند راهکار مناسبی جهت مقابله با این نوع حملات باشد.

در راستای تهدید قبلی دستکاری داده ها از دیگر تهدیدات این حوزه محسوب می شود که در آن مهاجم در نیمه راه با تغییر داده و ارسال آن به گیرنده باعث بروز خطر می شود که ساده ترین راه مقابله با این تهدید هم استفاده از کانال ارتباطی امن است .

بسترهای NFC همچنان مستعد حمله MITM (man-in-the-middle) هستند, در این سناریو مهاجم با موفقیت ارتباط را قطع و پس از تغییر داده مجددا اقدام به ارسال آن می کند و یا حتی بدون تغییر داده ها آنها را برای خود خوانده و ضبط می نماید تا در آینده از آنها سو استفاده کند. برای کاهش اینگونه مخاطرات استفاده از حالت ارتباطی active-passive پیشنهاد می شود چون در این حالت امکان تشخیص نفوذ های ناخواسته بیشتر ممکن می شود و راه حل دوم همچنان همان استفاده از بستر امن است.

و در نهایت مخاطرات حاصل از برنامه های مخرب و آلوده به بدافزار می باشند که بروی دستگاه حاوی NFC دانلود می گردند, برنامه مخرب قادر خواهد بود تمامی تگ های NFC نزدیک به دستگاه هوشمند را خوانده و به مهاجم راه دور خود، ارسال نماید در این حالت دستگاه NFC شما مورد استراق صمع قرار گرفته و حتی اطلاعات کارت اعتباری شما بدون اینکه مطلع باشید مورد دستبرد قرار می گیرد. ساده ترین روش مقابله با این نوع حملات آگاهی رسانی به کاربران در خصوص دقت در دانلود نرم افزارها است .

بدافزارهای موبایل نیز در حال تبدیل شدن به یکی از معضلات سرقت اطلاعات می شوند چون قادر هستند اطلاعات حساس کاربران را از دستگاه های هوشمند خوانده و توسط بسترهای NFC و یا وب در اختیار مهاجمین قرار دهند. می توان با نصب یک ضدبدافزار و تنظیم رمز عبور و PIN کد برای دستگاه هوشمند خود از بسیاری از این خطرات جلوگیری کرد.

خطری که اخیرا شاهد آن بودیم Android Beam بوده است که می توانست برای انتقال اطلاعات بین دستگاه ها و یا ارسال اطلاعات از یک تگ به یک دستگاه استفاده کند.

اطلاعاتی همچون شماره های تماس, آدرس های اینترنتی,برنامه ها و غیره. به جهت عدم نیاز به تاییدیه از سوی کاربر، بدافزار به راحتی قادر به نصب برنامه ها بر روی دستگاه قربانی می باشد که نصب این برنامه می تواند منبع جدیدی جهت دریافت هر چه بیشتر مخاطرات و کدهای آلوده باشد. راه حل مقابله با این مشکل همانا تنظیمات لازم جهت گرفتن تاییدیه از کاربر قبل از ارسال و دریافت اطلاعات توسط دستگاه است .

مشکل دیگر مشاهده شده در این حوزه گوشی های تلفن نوکیا با قابلیت NFC می باشند که بطور اتوماتیک بدون اجازه گرفتن از کاربر با دستگاه های بلوتوث دیگر ارتباط برقرار نموده و بطور پیش فرض هیچگونه PIN کد و یا تاییدیه ای از کاربر درخواست نمی کند. 

مهاجم به راحتی با ابزاری همچون obexfs دسترسی به دستگاه قربانی پیدا می کند. در این مورد نیز راه حل مقابله تنظیمات لازم جهت تاییدیه کاربر قبل از برقراری هر گونه ارتباط Bluetooth ای است .

در خصوص هر تکنولوژی جدید, منحنی یادگیری امنیتی وجود دارد که توسعه دهندگان نرم افزارها و کاربران عادی بایستی با آگاهی از تهدیدات، خود را در مقابل خطرات احتمالی محافظت نمایند.