Gli smartphone Android dotati di sistema NFC sono esposti a un nuovo micidiale attacco informatico denominato “Tap ‘n Ghost”. Questo strano nome deriva dal fatto che tale sistema può indurre falsi tocchi delle dita sullo schermo touch così da far compiere azioni indesiderate allo smartphone. L’attacco in questione sfrutta difetti sia a livello di software che di hardware e sembra sia in grado di funzionare anche sui più recenti modelli di smartphone dotati di connettività NFC.
A scoprire questa truffa sono stati tre ricercatori della Waseda University di Tokyo, i quali hanno descritto il funzionamento di Tap ‘n Ghost. Si parte da una piattaforma di attacco costituita da una lastra di rame spessa 5 mm e collegata a un generatore di segnale DDS, un trasformatore ad alta tensione, una batteria, lettori/scrittori NFC e un piccolo computer (laptop, Raspberry Pi). Si tratta di un impianto che potrebbe sembrare ingombrante ma i ricercatori sostengono che può essere inserito all’interno di tavoli o altri oggetti su cui una vittima potrebbe posizionare il proprio smartphone.
NFC usata dagli hacker per le truffe: come funziona l’attacco
L’attacco al vostro smartphone si articola in due passaggi: una volta che l’utente ha posizionato il proprio smartphone vicino al dispositivo “attaccante”(da 4 a 10 cm), i lettori/scrittori NFC possono ottenere informazioni di base e attivare un’azione (come recarsi su un apposito URL, accoppiarlo ad un altro device via Bluetooth o connetterlo ad una rete WiFi).
A questo punto, attraverso la piastra di rame, Tap ‘n Ghost induce disturbi elettrici nel touchscreen, creando finti tocchi per attivare una connessione pericolosa. I ricercatori hanno testato l’attacco su sette device, avendo successo in cinque casi.
Fortunatamente, l’attacco Tap ‘n Ghost non è un sistema multipiattaforma e non può essere usato contro qualsiasi utente. Infatti, ogni smartphone utilizza tecnologie touchscreen capacitive diverse e richiede segnali speciali a frequenze diverse (che l’attaccante dovrebbe conoscere preventivamente).