Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo. Este artigo tem como objetivo descrever de forma clara o processo
utilizado pelo método de comunicação NFC (Near Field Communication),
aplicado a dispositivos móveis, para a interação com receptores específicos
com a finalidade de realizar pagamentos e transferências de valores de forma
mais prática e segura. Através desta análise, é possível estimarmos o nível de
segurança alcançado por esta solução e a probabilidade do seu uso em
grande escala.
1. Introdução
Os smartphones já assumiram a função de vários outros dispositivos, como o MP3
Player, vídeo games portáteis, TV de mão, agenda e até mesmo GPS. O próximo passo
na evolução destes dispositivos é a inclusão de mais uma funcionalidade: Carteira
Eletrônica. Em um futuro próximo será possível realizar pagamentos simplesmente
aproximando o smartphone de um receptor, de forma mais rápida e prática do que a
utilizada hoje com cartões magnéticos ou com chip. Entre várias soluções propostas
para o pagamento através de dispositivos móveis, o Near Field Communication é um
dos métodos mais promissores. O NFC, como o próprio nome sugere, permite a
comunicação entre dispositivos em curta distância, através de radiofreqüência, e vem
sendo testado por empresas como Visa, RIM e Nokia.
Neste documento procuramos analisar e exemplificar o funcionamento da
tecnologia NFC e quais os impactos relacionados à segurança na transação de dados em
função da praticidade.
2. A tecnologia NFC incorporada a dispositivos móveis
O principal requisito para a utilização em massa da Carteira Eletrônica é a
disponibilidade de equipamentos que possuam a tecnologia NFC integrada. Atualmente
não existem muitos modelos disponíveis, mas estima-se que grande parte dos aparelhos
smartphones produzidos introduzam esta tecnologia. Para os modelos atuais que não
possuem tal característica, existe uma solução de kits para adaptação da tecnologia
NFC. Estes kits possuem antenas e adaptadores para o cartão SIM ou com cartão
MicroSD com antena NFC, como é o caso do modelo In2play, desenvolvido pela
empresa Device Fydelity que também possui um adaptador para Iphone, já que este não
possui entrada MicroSD.
4. 1. O protocolo SWP
O protocolo SWP (ou Single Wired Prococol) é utilizado em comunicações NFC que
utilizam aparelhos celulares (smartphones). O SWP proporciona uma interface padrão e
um canal de comunicação seguro entre o cartão SIM e o hardware NFC do aparelho
através de um dos pinos de contato do cartão SIM que não era utilizado ate então devido
ao padrão USB de comunicação do SIM com o terminal. O cartão SIM (Subscriber
Identity Module) é um dispositivo tem como função a autenticação e validação, mas
também pode guardar informações relacionadas ao usuário e as aplicações. O instituto
ETSI (European Telecommunications Standarts Institute) está trabalhando no
aprimoramento deste padrão para permitir a troca de informações de identificação,
segurança e pagamentos via NFC.
4. 1. O protocolo SWP
Apesar da comunicação do NFC estar limitada a alguns centímetros, a segurança
não é garantida durante a comunicação. Em 2006 Ernest Haselsteiner e Klemens
Breitfuss descreveram alguns possíveis tipos de ataques. São eles:
•Wavesdroping: Neste caso, o sinal de radiofreqüência, para a transferência dos
dados, pode ser capturado com o uso de antenas. A distância necessária para capturar o
sinal depende de diversos fatores, mas normalmente é uma pequena quantidade de
metros. Um equipamento em modo passivo (não gera campo de radiofreqüência) é
muito mais seguro quanto esse tipo de ataque comparado a um equipamento em modo
ativo. Existe um equipamento open source capaz de efetuar este ataque, o Proxmark. [8]
[8]
•Data Modification: É relativamente simples praticar este ataque utilizando uma
antena potente. Esta antena gera interferências no sinal invalidando os dados da
transmissão. Atualmente não há como prevenir este ataque. Porém, se o equipamento
NFC checar o campo de radiofreqüência no momento da transmissão, um ataque pode
ser identificado.
•Relay Attack: Como os equipamentos NFC incluem os protocolos da ISO/IEC
14443 é possível efetuar o Relay Attack. Para efetuar este ataque, o atacante precisa
encaminhar a requisição do leitor ao equipamento da vítima e fazer o caminho inverso
até o leitor do atacante em tempo real. Este ataque é similar ao ataque man-in-the-
midle, porém é necessário estar em uma distância próxima à vítima.
•Lost Property: A perda da propriedade do smartphone dá a oportunidade para
quem achá-lo de efetuar transações como se fosse o proprietário. Atualmente os
smartphones possuem apenas um código PIN como mecanismo de autenticação. Para
estes casos, novas ferramentas / métodos de autenticação deverão ser desenvolvidas.
•Walk-off: Uma conexão válida pode ser explorada caso um mecanismo de
timeout não seja implementado. O atacante usa uma conexão legítima iniciada pela
vítima, porém não finalizada. O intuito deste ataque é beneficiar-se dos dados da vitima
para efetuar transações em nome do atacante.
•Fishing attack: Ao tentar pagar alguma conta, o usuário aceita fazer ao
pagamento via NFC, sendo que o equipamento receptor pode ser um embuste, onde as
informações do cartão do usuário são direcionadas para outro site na internet.
5. Conclusão
Com este trabalho concluímos que a tecnologia NFC, apesar de apresentar algumas
falhas de segurança básicas, as quais provavelmente serão tratadas dentro dos próximos
anos devido à evolução tecnológica e o avanço nos estudos deste método de
comunicação, proporcionará a realização de atividades de forma mais eficiente, não só
relacionado a pagamento eletrônico, mas como ferramenta de acesso a uma infinidade
de atividades, como, por exemplo, a obtenção de informações adicionais sobre
determinado produto, simplesmente com a aproximação do objeto, assim como tantas
outras funções de comunicação que se possa necessitar.
REFERÊNCIAS
[1] NFC Forum (http://www.nfc-forum.org) - Consultado em 10 de junho de 2011.
[2] NFC World (http://www.nfc-world.com) - Consultado em 10 de junho de 2011.
[3] NFC Brasil (http://www.nfcbrasil.com.br) - Consultado em 10 de junho de 2011.
[4] Device Fidelity S.A (http://www.devicefidelity.com) - Consultado em 10 de junho
de 2011.
[5] TRI – Transporte Integrado (http://www.tripoa.com.br) - Consultado em 10 de junho
de 2011.
[6] Cartão RioCard (http://www.riobilheteunico.com.br) - Consultado em 10 de junho
de 2011.
[7] Revista Info Exame – Reportagem de Capa (março 2011) (http://info.abril.com.br) -
Consultado em 10 de junho de 2011.
[8] Proxmark (http://www.proxmark.org/) - Consultado em 10 de junho de 2011.