O método de comunicação NFC e sua aplicação no processo

de pagamento através de dispositivos móveis

Fausto Levandoski1, Vagner Fleck Dias1, Vagner Rafael Christ1, Vitor Hugo
Marques1
1
Universidade do Vale do Rios dos Sinos (UNISINOS)
Curso Tecnólogo em Segurança da Informação
Av. Unisinos, 950 – 93.022-000 – São Leopoldo– RS – Brasil
{farole, vagnerdias, vagnerchrist, vitorhugo.info}@gmail.com

Abstract. This paper aims to describe clearly the process communication

method used by NFC (Near Field Communication), applied to mobile devices,
for interaction with specific receptors with purpose of making payments and
transfers values in a more practical and safe way. Through this analysis, it is
possible to estimate the level of security achieved by this solution and the
likelihood of their use large scale..

Resumo. Este artigo tem como objetivo descrever de forma clara o processo
utilizado pelo método de comunicação NFC (Near Field Communication),
aplicado a dispositivos móveis, para a interação com receptores específicos
com a finalidade de realizar pagamentos e transferências de valores de forma
mais prática e segura. Através desta análise, é possível estimarmos o nível de
segurança alcançado por esta solução e a probabilidade do seu uso em
grande escala.

Palavras-chave: NFC, Near Field Communication

1. Introdução
Os smartphones já assumiram a função de vários outros dispositivos, como o MP3
Player, vídeo games portáteis, TV de mão, agenda e até mesmo GPS. O próximo passo
na evolução destes dispositivos é a inclusão de mais uma funcionalidade: Carteira
Eletrônica. Em um futuro próximo será possível realizar pagamentos simplesmente
aproximando o smartphone de um receptor, de forma mais rápida e prática do que a
utilizada hoje com cartões magnéticos ou com chip. Entre várias soluções propostas
para o pagamento através de dispositivos móveis, o Near Field Communication é um
dos métodos mais promissores. O NFC, como o próprio nome sugere, permite a
comunicação entre dispositivos em curta distância, através de radiofreqüência, e vem
sendo testado por empresas como Visa, RIM e Nokia.
Neste documento procuramos analisar e exemplificar o funcionamento da
tecnologia NFC e quais os impactos relacionados à segurança na transação de dados em
função da praticidade.
2. A tecnologia NFC incorporada a dispositivos móveis
O principal requisito para a utilização em massa da Carteira Eletrônica é a
disponibilidade de equipamentos que possuam a tecnologia NFC integrada. Atualmente
não existem muitos modelos disponíveis, mas estima-se que grande parte dos aparelhos
smartphones produzidos introduzam esta tecnologia. Para os modelos atuais que não
possuem tal característica, existe uma solução de kits para adaptação da tecnologia
NFC. Estes kits possuem antenas e adaptadores para o cartão SIM ou com cartão
MicroSD com antena NFC, como é o caso do modelo In2play, desenvolvido pela
empresa Device Fydelity que também possui um adaptador para Iphone, já que este não
possui entrada MicroSD.

Figura 1. NFC integrado via MicroSD

Apesar do modelo de pagamento via Carteira Eletrônica estar avançando

rapidamente em países como Inglaterra, Japão e Coréia, aqui no Brasil, ainda que
existam estudos realizados por empresas do ramo, esta tecnologia incorporada a
aparelhos como smartphones, por exemplo, ainda esta longe de ser utilizada no nosso
dia a dia. Isso ocorre porque a modificação dos métodos de pagamentos utilizados em
estabelecimentos comerciais e o treinamento para todos os envolvidos, usuários ou
prestadores de serviço, demandam tempo e um alto custo de desenvolvimento, alem de
não existir motivação por parte do mercado a utilizar esta nova tecnologia. Por outro
lado, exemplos mais simples de utilização tecnologia NFC já esta sendo utilizada hoje
no Brasil, através de cartões para transporte coletivo, como o cartão TRI (Transporte
Integrado) em Porto Alegre e o Bilhete Único Carioca no estado do Rio de Janeiro.
Estes cartões agem de forma mais simples, pois se comunicam de maneira passiva.
[5][6]
 Figura 2. . Exemplos de utilização da tecnologia NFC

3. Near field communication

O NFC é um dispositivo de comunicação que opera a 13.56 MHz desenvolvidos
pelas empresas Philips Semiconductors e Sony Corporation e tem como característica
principal, realizar a comunicação entre dispositivos através de radiofreqüência em curtas
distâncias. Para isso, o NFC utiliza antenas com alcance de aproximadamente 20 cm de
raio e com taxas de transferência de 106 á 848 Kbps. O NFC foi desenvolvido como
sendo a segunda geração da tecnologia RFID e espera-se que vários dispositivos no
futuro incorporem esta tecnologia.[2][3]
O NFC é compatível com o Smart Card “FelicaTM” desenvolvido pela Sony e
utilizado em países, como Japão e Ásia, e também com o “Mifare”, Smart Card
desenvolvido pela Philips. O NFC pode se comunicar com estes dispositivos, mas por
poderem se comunicar entre eles (NFC com NFC) espera-se maior flexibilidade nas
comunicações utilizada pelos smart cards.[4]

Figura 3. Exemplos da compatibilidade da tecnologia NFC

 Na comunicação via NFC sempre estão envolvidos dois elementos, um iniciador
e um destino, o iniciador ativamente gera um campo de RF (campo magnético) que pode
alimentar um alvo passivo. Isso permite que os alvos NFC troquem informações de
maneira muito simples. De acordo com o NFC Forum, os três principais usos da
tecnologia NFC atualmente são “de compartilhamento, de sincronização e de
transações.”
Para que dois dispositivos se comuniquem usando tecnologia NFC, um dispositivo deve
ter um leitor/gravador NFC e o outro deve ter uma etiqueta NFC. A etiqueta é
essencialmente um circuito integrado que contêm dados, conectado a uma antena, que
pode ser lido e escrito pelo dispositivo.
O NFC possui ainda dois modos de atuação:
•Modo Passivo: Neste modo apenas um dos dispositivos gera o campo de rádio
freqüência para efetuar a transmissão. Neste caso, o equipamento que está gerando o
campo magnético irá alimentar eletricamente o dispositivo passivo, permitindo sua
comunicação. Devido a esta característica, é possível a integração via NFC de aparelhos
smartphone, por exemplo, com cartazes, anúncios e cartões. Como exemplo, os cartões
TRI, e Bilhete Único para pagamento em transportes coletivos funcionam de forma
passiva, uma vez que os receptores destes cartões geram o campo magnético, permitindo
sua comunicação.
•Modo Ativo: Neste modo ambos os equipamentos geram o campo de rádio
freqüência para efetuar a transmissão. O modelo ativo é sugerido para a comunicação
entre dispositivos que realizam ações interativas, como no caso de pagamento via
smartphone. No caso da Carteira Eletrônica, tanto o receptor (equipamento instalado no
estabelecimento. ex: Visa, Master, etc), quanto o iniciador geram campos magnéticos
para a realização da comunicação.

3.1. Modos de Operação

Existem três modos de operação, conforme segue:
•Modo Leitor / gravador: Neste modo, o dispositivo NFC pode ler e alterar
dados armazenados em um NFC compatível de forma passiva. Dependendo dos dados
armazenados na etiqueta, o dispositivo NFC realiza uma ação apropriada, sem qualquer
interação do usuário. Se uma URL for encontrada na etiqueta, por exemplo, o aparelho
poderá abrir um navegador web e acessar o endereço automaticamente.
•Cartão de emulação: Um dispositivo NFC também pode atuar como smartcard,
estando ele em modo de emulação do cartão. Nesse caso o leitor externo não pode
distinguir entre um cartão inteligente e um dispositivo NFC. Este modo é útil para o
pagamento sem contato e pedidos de bilhetes, por exemplo. Na verdade, uma tecnologia
NFC permite ao aparelho ser capaz de armazenar diferentes aplicações de smartcard
sem contato em um único dispositivo.
• Peer-to-Peer: O NFC em modo peer-to-peer permite que dois dispositivos NFC
estabeleçam uma conexão bidirecional para troca de contatos, informações de
sincronização via Bluetooth ou qualquer outro tipo de dados.
4. Aspectos de segurança
O NFC foi projetado com o intuito de proporcionar maior agilidade em transações
agregado a maior segurança no processo. Para isso, o NFC conta com uma característica
própria capaz de aumentar o nível de segurança nas transferências de informações: A
pouca distância entre os dispositivos para a comunicação.
Além desta característica, o fato de o processo de comunicação ocorrer em
poucos segundos, também pode aumentar o nível de segurança do processo.
Os processos de autenticação e criptografia dos dados também são empregados
no processo. Um aparelho iniciador pode solicitar a autenticação do usuário antes de
realizar a comunicação e transferência de informações. Os dados transferidos podem ser
criptografados, sendo que o tipo de criptografia utilizada é característica especifica de
cada aplicação.

4. 1. O protocolo SWP
O protocolo SWP (ou Single Wired Prococol) é utilizado em comunicações NFC que
utilizam aparelhos celulares (smartphones). O SWP proporciona uma interface padrão e
um canal de comunicação seguro entre o cartão SIM e o hardware NFC do aparelho
através de um dos pinos de contato do cartão SIM que não era utilizado ate então devido
ao padrão USB de comunicação do SIM com o terminal. O cartão SIM (Subscriber
Identity Module) é um dispositivo tem como função a autenticação e validação, mas
também pode guardar informações relacionadas ao usuário e as aplicações. O instituto
ETSI (European Telecommunications Standarts Institute) está trabalhando no
aprimoramento deste padrão para permitir a troca de informações de identificação,
segurança e pagamentos via NFC.

4. 1. O protocolo SWP
Apesar da comunicação do NFC estar limitada a alguns centímetros, a segurança
não é garantida durante a comunicação. Em 2006 Ernest Haselsteiner e Klemens
Breitfuss descreveram alguns possíveis tipos de ataques. São eles:
•Wavesdroping: Neste caso, o sinal de radiofreqüência, para a transferência dos
dados, pode ser capturado com o uso de antenas. A distância necessária para capturar o
sinal depende de diversos fatores, mas normalmente é uma pequena quantidade de
metros. Um equipamento em modo passivo (não gera campo de radiofreqüência) é
muito mais seguro quanto esse tipo de ataque comparado a um equipamento em modo
ativo. Existe um equipamento open source capaz de efetuar este ataque, o Proxmark. [8]
[8]
•Data Modification: É relativamente simples praticar este ataque utilizando uma
antena potente. Esta antena gera interferências no sinal invalidando os dados da
transmissão. Atualmente não há como prevenir este ataque. Porém, se o equipamento
NFC checar o campo de radiofreqüência no momento da transmissão, um ataque pode
ser identificado.
•Relay Attack: Como os equipamentos NFC incluem os protocolos da ISO/IEC
14443 é possível efetuar o Relay Attack. Para efetuar este ataque, o atacante precisa
encaminhar a requisição do leitor ao equipamento da vítima e fazer o caminho inverso
até o leitor do atacante em tempo real. Este ataque é similar ao ataque man-in-the-
midle, porém é necessário estar em uma distância próxima à vítima.
•Lost Property: A perda da propriedade do smartphone dá a oportunidade para
quem achá-lo de efetuar transações como se fosse o proprietário. Atualmente os
smartphones possuem apenas um código PIN como mecanismo de autenticação. Para
estes casos, novas ferramentas / métodos de autenticação deverão ser desenvolvidas.
•Walk-off: Uma conexão válida pode ser explorada caso um mecanismo de
timeout não seja implementado. O atacante usa uma conexão legítima iniciada pela
vítima, porém não finalizada. O intuito deste ataque é beneficiar-se dos dados da vitima
para efetuar transações em nome do atacante.
•Fishing attack: Ao tentar pagar alguma conta, o usuário aceita fazer ao
pagamento via NFC, sendo que o equipamento receptor pode ser um embuste, onde as
informações do cartão do usuário são direcionadas para outro site na internet.

5. Conclusão
Com este trabalho concluímos que a tecnologia NFC, apesar de apresentar algumas
falhas de segurança básicas, as quais provavelmente serão tratadas dentro dos próximos
anos devido à evolução tecnológica e o avanço nos estudos deste método de
comunicação, proporcionará a realização de atividades de forma mais eficiente, não só
relacionado a pagamento eletrônico, mas como ferramenta de acesso a uma infinidade
de atividades, como, por exemplo, a obtenção de informações adicionais sobre
determinado produto, simplesmente com a aproximação do objeto, assim como tantas
outras funções de comunicação que se possa necessitar.

REFERÊNCIAS
[1] NFC Forum (http://www.nfc-forum.org) - Consultado em 10 de junho de 2011.
[2] NFC World (http://www.nfc-world.com) - Consultado em 10 de junho de 2011.
[3] NFC Brasil (http://www.nfcbrasil.com.br) - Consultado em 10 de junho de 2011.
[4] Device Fidelity S.A (http://www.devicefidelity.com) - Consultado em 10 de junho
de 2011.
[5] TRI – Transporte Integrado (http://www.tripoa.com.br) - Consultado em 10 de junho
de 2011.
[6] Cartão RioCard (http://www.riobilheteunico.com.br) - Consultado em 10 de junho
de 2011.
[7] Revista Info Exame – Reportagem de Capa (março 2011) (http://info.abril.com.br) -
Consultado em 10 de junho de 2011.
[8] Proxmark (http://www.proxmark.org/) - Consultado em 10 de junho de 2011.