NFC یا ارتباط میدانی نزدیک تکنولوژی بدون تماس و بی سیمی است که برای ارسال اطلاعات یا پرداخت های الکترونیک استفاده می شود. با الصاق یک چیپ NFC درون یک تلفن هوشمند, می توان کیف پولی مجازی، ایجاد نمود به این ترتیب که کاربران قادر باشند مشخصات حساب بانکی خود را در آن ذخیره کرده و در هنگام خرید تنها با نزدیک کردن گوشی هوشمند خود به دستگاه کارت خوان قادر به پرداخت باشند.
NFC شباهت زیادی به تکنولوژی RFID دارد. یک چیپ کوچک NFC در داخل یک گوشی تلفن هوشمند و یا هر وسیله ی دیگری با ایجاد میدان الکترومغناطیسی قادر به برقراری ارتباط با یک دستگاه کارت خوان، یک پوستر هوشمند یا حتی تگ چسبانده شده به یک تبلیغ، و خواندن اطلاعات از روی آنها می باشد.
از زمانی که NFC قابلیت ارتباط بدون تماس، جهت انتقال اطلاعات را فراهم کرده است در معرض تهدیدات امنیتی قرار گرفته که در ادامه اشاره ای به این تهدیدات خواهیم داشت. توجه نمایید که تهدیدات بایستی در برد محدودی معمولا در حد چندین سانتی متر بررسی گردند اما همواره امکان دریافت سیگنال های کاربردی در محدوده ی یک متری و یا بیشتر بسته به نوع سیگنال نیز، توسط مهاجمین وجود دارد.
اولین تهدید، امکان شنود داده انتقال شده، توسط مهاجم می باشد. شنود یا قطع ارتباط برقرار شده و دسترسی به داده های درحال انتقال اتفاق می افتد در صورتی که داده در حال انتقال اطلاعات حساب کاربردی و یا مشخصات شخصی باشد مهاجم دسترسی کامل به این اطلاعات حساس خواهد داشت که راه حل ممکن و آسان جهت حل این مشکل، رمز نگاری داده های جابه جا شده بر روی بستر NFC می باشد.
مشکل امنیتی بعدی قطع یا انحراف داده های ارسالی می باشد. که در واقع نوعی حمله ممانعت از سرویس دهی (denial of service) می باشد که در آن مهاجم جریان داده های در حال انتقال را بر روی بستر ارتباطی قطع میکند، مقابله با این نوع به مراتب سخت تر از حالتهای دیگر می باشد به همین جهت رمزنگاری داده ها قبل از انتقال و یا ترکیب داده های ارسالی با داده های کنترلی می تواند راهکار مناسبی جهت مقابله با این نوع حملات باشد.
در راستای تهدید قبلی دستکاری داده ها از دیگر تهدیدات این حوزه محسوب می شود که در آن مهاجم در نیمه راه با تغییر داده و ارسال آن به گیرنده باعث بروز خطر می شود که ساده ترین راه مقابله با این تهدید هم استفاده از کانال ارتباطی امن می باشد.
بسترهای NFC همچنان مستعد حمله MITM (man-in-the-middle) هستند، در این سناریو مهاجم با موفقیت ارتباط را قطع و پس از تغییر داده مجددا اقدام به ارسال آن می کند و یا حتی بدون تغییر داده ها آنها را برای خود خوانده و ضبط میکند تا در آینده از آنها سو استفاده کند. برای کاهش اینگونه مخاطرات استفاده از حالت ارتباطی active-passive پیشنهاد می گردد چون در این حالت امکان تشخیص نفوذهای ناخواسته بیشتر ممکن می گردد و راه حل دوم همچنان همان استفاده از بستر امن می باشد.
و در نهایت مخاطرات حاصل از برنامه های مخرب و آلوده به بدافزار می باشند که بروی دستگاه حاوی NFC دانلود می گردند، برنامه مخرب قادر خواهد بود تمامی تگ های NFC نزدیک به دستگاه هوشمند را خوانده و به مهاجم راه دور خود، ارسال کند در این حالت دستگاه NFC شما مورد استراق سمع قرار گرفته و حتی اطلاعات کارت اعتباری شما بدون اینکه مطلع باشید مورد دستبرد قرار می گیرد. ساده ترین روش مقابله با این نوع حملات آگاهی رسانی به کاربران در خصوص دقت در دانلود نرم افزارها می باشد.
بدافزارهای موبایل نیز در حال تبدیل شدن به یکی از معضلات سرقت اطلاعات می شوند چون قادر هستند اطلاعات حساس کاربران را از دستگاه های هوشمند خوانده و توسط بسترهای NFC و یا وب در اختیار مهاجمین قرار دهند. می توان با نصب یک ضدبدافزار و تنظیم رمز عبور و PIN کد برای دستگاه هوشمند خود جلوی بسیاری از این خطرات را گرفت.
خطری که اخیرا شاهد آن بودیم Android Beam بوده است که می توانست برای انتقال اطلاعات بین دستگاه ها و یا ارسال اطلاعات از یک تگ به یک دستگاه استفاده کند. اطلاعاتی همچون شماره های تماس، آدرس های اینترنتی، برنامه ها و کلی موارد دیگر. به جهت عدم نیاز به تاییدیه از سوی کاربر، بدافزار به راحتی قادر به نصب برنامهها بر روی دستگاه قربانی می باشد که نصب این برنامه می تواند منبع جدیدی جهت دریافت هرچه بیشتر مخاطرات و کدهای آلوده باشد. راه حل مقابله با این مشکل همانا تنظیمات لازم جهت گرفتن تاییدیه از کاربر قبل از ارسال و دریافت اطلاعات توسط دستگاه می باشد.
مشکل دیگر مشاهده شده در این حوزه گوشی های تلفن نوکیا با قابلیت NFC می باشند که بطور اتوماتیک بدون اجازه گرفتن از کاربر با دستگاه های بلوتوث دیگر ارتباط برقرار نموده و بطور پیش فرض هیچگونه PIN کد و یا تاییدیه ای از کاربر درخواست نمی کند. مهاجم به راحتی با ابزاری همچون obexfs دسترسی به دستگاه قربانی پیدا می کند. در این مورد نیز راه حل مقابله تنظیمات لازم جهت تاییدیه کاربر قبل از برقراری هر گونه ارتباط Bluetooth ای می باشد.
در خصوص هر تکنولوژی جدید، منحنی یادگیری امنیتی وجود دارد که توسعه دهندگان نرم افزارها و کاربران عادی بایستی با آگاهی از تهدیدات، خود را در مقابل خطرات احتمالی محافظت کنند.