NFC je bezpečné! A nebo není?

S NFC se již pravděpodobně setkal v některé životní situaci téměř každý, i když si to třeba v danou chvíli zcela neuvědomoval. Přinejměnším ti z Vás, kteří používají svůj chytrý telefon k bezkontaktním platbám u obchodníků (Google Pay, Apple Pay) nebo přenosu kontaktů z telefonu do telefonu. Je však čeho se obávat nebo je NFC protokol zcela bezpečný?

Android podporoval NFC čipy ve svých zařízeních řadu let zptátky, kdežto u společnosti Apple došlo k posunu až s uvedením jejich Apple Pay na trh, kdy od verze iPhone 7 a iOS 13 plně podporuje čtení i zápis NFC tagů.

Začněme ale od začátku. Co je to NFC? Near Field Communication umožňuje bezdrátovou komunikaci dvou elektronických zařízení na velmi krátkou vzdálenost. Bavíme se tu o obecně uváděné vzdálenosti do 4cm. V reálných podmínkách však bývá vzdálenost větší a dosahuje vzdálenosti až 10cm. Celkově je možná vzdálenost přenosu poměrně dost malá. Pro mobilní platby, kdy přiložíte telefon k platebnímu terminálu, však zcela dostačující. Pokud bychom potřebovali zajistit komunikaci mezi zařízeními na větší vzdálenost, nabízí se vhodnější řešení, v podobě Bluetooth technologie a WiFi, jako zástupců bezdrátových přenosů nebo následně kabeláž pro drátový přenos.

Komunikace přes NFC pak probíhá v režimu chytrý telefon vs chytrý telefon, kdy mezi sebou komunikují dva telefony nebo v režimu chytrý telefon a NFC tag. Pod pojmem NFC tag si můžeme představit malé, levné zařízení, nevyžadující napájení:

NFC_tags.PNG

NFC tag nepotřebuje vlastní zdroj napájení, protože přiblížením mobilního zařízení (čtecího zařízení) k tagu se generuje vysokofrekvenční pole (RF), které je následně zdrojem napájení pro NFC tag. Oddálením čtecího zařízení dojde k vybití NFC tagu, který je následně pasivní do té doby, než je k němu opětovně přiloženo čtecí zařízení (mobilní telefon). A tak stále dokola.

S RFID čipy (Radio Frequency Identification) se setkáme v bezkontaktních předplacených kartách, obvykle například předplacenky na hromadnou dopravu, věrnostních kartách a některých vstupenkách. Umísťují se rovněž v obchodech na zboží, a to jak z bezpečnostních, tak inventarizačních důvodů (náhrada za klasické čárové kódy). Jejich využití najdeme rovněž v čipování domácích mazlíčků nebo v podobě přístupových karet zaměstnanců na pracoviště.

RFID technologie nepoužívá šifrování, což sebou nese rizika v podobě zařízení (skimmery), která jsou schopna nechráněná data z RFID čipu vzdáleně přečíst (v závislosti na výkonu antény). Zde přichází na scénu NFC jako vylepšená podkategorie RFID, přinášející možnost šifrování dat. Příkladem mohou být již zmíněné aplikace pro bezkontaktní platby Google Pay a Apple pay. Neznamená to však, že je NFC zcela bezpečné. Je potřeba si uvědomit, že pro navázání NFC komunikace není vyžadováno heslo nebo zadání klíče. Navázání komunikace se tak děje pouhým těsným přiložením zařízení k jinému zařízení nebo NFC tagu. Nic víc není k navázání validní komunikace potřeba. Implementace bezpečnostních prvků, jako je vyžadování hesla nebo přenos bezpečným kanálem, může být dodatečně řešeno na aplikační úrovni, plně v režiji dodavatele aplikace/řešení.

Smart_device_payment.PNG

Bezpečnost se v oblasti mobilních aplikací a finančním sektoru posouvá neskutečným tempem stále více dopředu a proto se není třeba paranoidně obávat a zarytě se vyhýbat každé nové změně. Je však dobré znát případná rizika a vědět, jak je mohu minimalizovat. Přijmeme-li fakt, že k validnímu NFC přenosu stačí splnit podmínku dostatečné vzdálenosti, existují pak rizika přenosu mallwaru nebo jiného škodlivého zařízení do mobilního zařízení, bez vědomí uživatele. Možná vám připadá reálná možnost interakce vašeho mobilního telefonu/hodinek s cizím zařízením na tak krátkou vzdálenost absurdní, ale byli byste překvapeni, kolik takových situací v každodenním běžném životě může nastat. Ať již v metru, na koncertě, ve frontě na oběd nebo cílená interakce s vaším telefonem, který zůstal ležet na pracovním stole.

Možná doporučení, jak minimalizovat rizika spjatá se zneužitím NFC vašeho zařízení, jsou následující:

  • Pokud NFC nevyužíváte, vypněte jej.
  • Používáte-li NFC k bezkontaktním platbám, používejte pro NFC platby separátní účet pro tyto účely. Pokud dojde ke zcizení, škoda nebude tak velká, jako by tomu bylo v případě vašeho hlavního účtu. Atakuje-li však pravidelný měsíční zůstatek na vašem hlavním účtu nulu, můžete být relativně klidní.
  • Pravidelně kontrolujte vaše mobilní zařízení na výskyt nechtěného a podezřelého softwaru.
  • Nepřikládejte vaše zařízení ke každému veřejnému tagu, který venku potkáte (autobusové zastávky a jiná veřejná místa).

NFC technologie má svá rizika, která je dobré znát. Nicméně s sebou rovněž přináší, kromě bezkontaktních plateb, celou řadu jiných použití, která mohou zkvalitnit náš život nebo alespoň jej v některých ohledech zpříjemnit.

  • Provozujete místo, kde sdílíte veřejně WiFi? Kromě vyžádání přístupů nebo vypisování přístupových údajů na viditelné místo, lze připravit NFC tag, který bude obsahovat přístupové údaje k Wifi síti. Uživatel se jedním dotekem připojí k WiFi síti. Android i iOS takové předání přístupových údajů podporují.
  • Chcete propagovat vaše dílo, webovou stránku, písničku nebo video? Můžete vyrobit NFC tag, který následně na veřejném místě, ideálně s popiskem co obsahuje, umístíte. Musíte však počítat, že určité procento poučených lidí bude k takovému tagu přistupovat s nedůvěrou.
  • Dalším možným využitím NFC technologie je automatizace procesů. Ideálním příkladem je SmartHome, kdy v rámci chytré domácnosti automatizujeje dílčí kroky nebo ovládáte zařízení.

Je možné, že vás napadá řada jiných a lepších využití NFC technologie. A to je svým způsobem dobře. Je přirozené mít obavy z věcí, kterým nerozumíme. Může být pošetilé vyhýbat se moderním technologiím, které nás obklopují a stávají se součástí našich každodenních životů. Je však důležité, uvědomovat si případná rizika, minimalizovat je a ve výsledku těžit z benefitů, které nám tyto technologie přinášejí a mohou nám být užitečnými pomocníky.