Near Field Communication: la minaccia cyber che portiamo nel taschino

(di Orazio Danilo Russo)
29/11/21

Nell'ambito di attività di prevenzione delle aggressioni al patrimonio informativo industriale svolte durante una recente fiera internazionale, è emersa la mancanza di consapevolezza dei rischi connessi all’uso dilagante dei biglietti da visita elettronici, comunemente noti col termine di smart digital business card.

In luogo del tradizionale scambio di raffinati cartoncini da presentazione, infatti, si propende sempre più per l’uso di eleganti tesserini magnetici in plastica (tipo carta di credito) che recano all’interno un chip con i nostri recapiti.

Avvicinando questo token allo smartphone del nostro interlocutore, trasmettiamo automaticamente la versione digitale del nostro biglietto da visita, con risparmio di carta, tempo ed ingombro.

La funzionalità si basa sullo standard di trasmissione di prossimità denominato NFC - Near Field Communication: per intenderci, la stessa tecnologia che oggigiorno consente i pagamenti al supermercato tramite telefonino o la lettura automatica del passaporto ai controlli di frontiera.

Cerimoniale e romanticismi a parte, non v’è dubbio che la moda delle smart business card soddisfi esigenze di speditezza, economicità e rispetto dell’ambiente, eliminando l’uso della carta; ma, al contempo, essa cela nuove minacce cyber che bisogna conoscere e mitigare per evitare che - specialmente in occasioni ghiotte come fiere, seminari e conferenze - malintenzionati possano portare attacchi informatici, rubare dati personali, rendere indisponibili i servizi di rete, falsificare documenti o sabotare dispositivi elettronici.

La minaccia beneficia peraltro di alcune condizioni predisponenti, per via della scarsa conoscenza delle tecnologie che “ci si porta nel taschino” e della inadeguata attenzione che generalmente viene prestata alle tematiche di sicurezza e privacy. Si immagina a torto, ad esempio, che la semplice lettura di un tag elettronico tramite la rete di prossimità del nostro telefono non possa avviare alcun automatismo; per di più in molti sono convinti - e sbagliano - che la limitata capacità di banda di queste tecnologie, unita alla necessità che i dispositivi comunicanti debbano stare ad una distanza inferiore ai 10 cm, non permetta penetrazioni informatiche di una certa consistenza.

Questi miti vanno sfatati. Anzitutto, come principio generale, bisogna considerare che ogni volta che si apre la porta di un dispositivo elettronico - poco importa che essa sia cablata o radio - si offre la possibilità di sfruttamento da remoto a chiunque. E, con riguardo proprio alle tecnologie NFC, vi sono studi che mostrano come la superficie di attacco agevolata dall’uso di trasmissioni di prossimità sia in realtà piuttosto ampia. Il codice responsabile dell'analisi delle trasmissioni NFC, infatti, inizia nei driver del Kernel - il nucleo del sistema operativo di un dispositivo, l'elemento più critico dal punto di vista della sicurezza - procede attraverso servizi intesi a gestire i dati NFC e alla fine termina con applicazioni che agiscono su tali dati.

In sostanza, è possibile attraverso l'interfaccia NFC accedere ad un telefonino e, senza il consenso dell’utente, aprire pagine Web, analizzare file di immagini, documenti di ufficio, video, eseguire applicazioni ecc. Ed è anche possibile attuare attacchi cibernetici di tipo “relay”, tipiche tattiche “Man-in-the-Middle” con cui si intercetta abusivamente il traffico dati altrui.

Dunque il rischio di security e di privacy esiste e non è trascurabile.

Le contromisure di sicurezza elettrica ed elettronica sono fondamentalmente tre. La prima è quella di utilizzare dispositivi e applicazioni con funzionalità “Preview & Authorize” che richiedano sempre la preventiva autorizzazione dell’utente prima di eseguire l’indirizzamento ad una pagina web o l’esecuzione di istruzioni potenzialmente dannose sul dispositivo. La seconda precauzione è quella di disabilitare le funzionalità NFC quando non servono. Infine l’ultima cautela, che riduce drasticamente il rischio, è quella di proteggere lo smartphone con NFC-blocking case: custodie schermanti in grado di proteggere dall’irradiamento elettromagnetico in ambiti di frequenza RFID e NFC. 

Vi è inoltre una contromisura di natura organizzativa: é buona norma utilizzare dispositivi "muletto" quando ci si reca all'estero che non contengano le informazioni personali o di lavoro, così riducendo il rischio di furto o compromissione di dati.

Per approfondire:

https://csrc.nist.gov/publications/detail/sp/800-98/final

https://ieeexplore.ieee.org/abstract/document/6428872

https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33

https://www.welivesecurity.com/2012/04/23/qr-codes-and-nfc-chips-preview-and-authorize-should-be-default/

rheinmetal defence