This article explores the security challenges and applications of Near Field Communication (NFC) technology. Focusing on NFC's operational modes, it underscores the technology's role in secure transactions and data sharing, while addressing vulnerabilities such as data interception and device cloning. The article concludes with a call for a deeper exploration into NFC security, covering both theoretical and practical dimensions. This research is part of my postgraduate work associated with State University of Goiás.
Este artigo investiga os desafios de segurança e as aplicações da tecnologia de Comunicação por Campo de Proximidade (NFC). Concentrando-se nos modos de operação do NFC, destaca o papel da tecnologia em transações seguras e compartilhamento de dados, ao mesmo tempo que aborda vulnerabilidades como interceptação de dados e clonagem de dispositivos. O artigo conclui com um chamado para uma exploração mais aprofundada da segurança do NFC, abrangendo dimensões teóricas e práticas. Esta pesquisa faz parte do meu trabalho de pós-graduação.
Artigo Marcus Winicius Oliveira Costa - A segurança por trás da tecnologia NFC
1. __________________________
¹ Graduado no Curso Superior de Tecnologia em Redes de Computadores – UEG Trindade
E-mail para contato: marcuswoc@gmail.com
² Mestre em Ciências da Computação pela Universidade Federal de Minas Gerais
E-mail para contato: paceroal@hotmail.com
A SEGURANÇA POR TRÁS DA TECNOLOGIA NFC
Marcus Winicius Oliveira Costa¹
Paulo César Rodrigues De Almeida²
RESUMO
Uma tecnologia que não é nova no mercado, mas que está sendo
amplamente utilizada nos últimos anos é o NFC (Near Field Communication). Ela
é um tipo de tecnologia contactless (sem contato), também conhecida como
tecnologia por aproximação, que tem como principal função transmitir dados de
forma rápida, apenas aproximando um dispositivo equipado a um receptor em
uma curta distância. Entretanto, apesar dessa característica dificultar a captura
dos dados transmitidos entre o emissor e receptor, o NFC pode apresentar falhas
de segurança que podem comprometer a sua ampla utilização. Este artigo tem
por finalidade apresentar algumas das principais características do NFC, assim
como as principais técnicas utilizadas na comunicação segura entre dispositivos
por meio dessa tecnologia.
Palavras-Chave: Tecnologia, NFC, segurança, contactless.
ABSTRACT
One technology that is not new to the market, but which is being widely
used in recent years is the Near Field Communication (NFC). It is a type of
contactless technology, also known as approaching technology, whose main
function is to transmit data quickly, bringing an equipped device to a receiver at
a short distance. However, although this feature makes it difficult to capture the
data transmitted between the sender and receiver, the NFC may present security
flaws that may compromise its wide use. This article aims to present some of the
main characteristics of NFC, as well as the main techniques used in secure
communication between devices through this technology.
Keywords: Technology, NFC, security, contactless.
2. 2
1. INTRODUÇÃO
Os anos 2015 e 2016 foram marcados por um grande feito no mundo dos
mobiles: pela primeira vez na história o uso dos smartphones ultrapassou a
utilização dos Desktops. No Brasil, segundo o Instituto Brasileiro de Geografia e
Estatística (IBGE, pág. 108-109), em 2016, os dispositivos móveis foram a
principal fonte de acesso à internet. Segundo estimativas levantadas em parceria
pelas empresas Hootsuite Media e We Are Social (KEMP, 2018), mais de 67%
da população mundial possui um dispositivo móvel. E a perspectiva é de
aumentar ao longo do tempo. Somente no mercado interno brasileiro, cerca de
384 milhões de smartphones foram vendidos no primeiro trimestre de 2018.
Esses aparelhos ao longo dos anos trouxeram consigo, em meio a esses
números, novas tecnologias criadas para facilitar a vida das pessoas.
Há mais de 10 anos, fazer ligações, enviar SMS, ouvir música e tirar fotos
estariam entre os principais usos do smartphone. Atualmente ele tem agregado
muito mais funções e comodidades aos seus usuários. Como exemplo, pode-se
citar: GPS, monitor de saúde, controle remoto, vídeos online, aplicativos, abrir a
porta da nossa casa, fazer pagamentos e outros jamais imaginados. Dessa
forma é possível, então, entender que uma das tendências do mercado, é trazer
cada vez mais comodidade aos seus clientes.
Uma das tecnologias agregadas a esses dispositivos é o NFC, que vem
substituindo, no cenário brasileiro, os cartões de crédito e débito, chaves de
casa, documentos de identificação, entre muitos outros. O termo NFC vem de
Near Field Communication, que em uma tradução aproximada quer dizer
comunicação por campo de proximidade e funciona de forma que informações
simples podem ser trocadas, de forma segura, sem a utilização de nenhum tipo
de cabo (sem fio), entre dois dispositivos compatíveis próximos um ao outro.
Assim como surgiu a substituição do dinheiro em forma de cédula por
cartões de crédito e débito, pensando nessa praticidade que os smartphones
trazem no dia a dia, o momento global atual também aponta para substituição
dos cartões financeiros por uma forma de pagamento online e segura. Ou até
mesmo substituir a chave de casa por cartão magnético, e que inclusive hoje
pode estar também dentro do nosso smartphone. São inúmeras as suas
utilidades.
Em contrapartida, não é possível pensar em tamanha gama de opções
sem pensar na segurança e nos riscos que essa tecnologia pode trazer
simultaneamente aos benefícios gerados. A partir dessa análise, é possível
levantar o questionamento de como funciona a segurança do NFC e de como
3. 3
confiar em uma tecnologia que com apenas um contato pode transferir
informações e dados que forem necessários.
Este trabalho destina-se a realizar um estudo sobre as principais
aplicações disponíveis no mercado utilizando-se dessa tecnologia NFC, assim
como apresentar as principais formas de segurança que opera por detrás da sua
utilização.
2. A TECNOLOGIA NFC
Neste capítulo são apresentadas as principais tecnologias envolvidas no
trabalho, como por exemplo o seu surgimento e características funcionais como:
arquitetura, normas e especificações, modo de operação, segurança, aplicações
dominantes, entre outros.
Para entender um pouco melhor a história do NFC, é necessário voltar um
pouco mais no tempo e entender sobre a origem do seu antecessor, o RFID. A
tecnologia RFID (de Radio Frequency Identification, Identificação por
Radiofrequência) teve início na Segunda Guerra Mundial, sendo utilizada nos
sistemas de radares dos aviões. Com base no RFID, a tecnologia NFC foi
desenvolvida tendo como o principal diferencial um alcance máximo de
comunicação reduzido para aproximadamente 10 cm.
2.1. O que é o NFC?
Um sistema NFC é composto basicamente pela Tag NFC e o Leitor NFC.
Como dito anteriormente, o NFC nasceu com base na tecnologia RFID, mas
diferentemente da RFID, onde é possível fazer leitura de informações a longa
distância, a NFC precisar estar próximo ao leitor. Segundo Coimbra (2016), essa
tecnologia é uma forma de comunicação bidirecional, sem fio, de pouco consumo
de energia e de curto alcance, que requer uma aproximação menor do que
quatro centímetros entre aparelhos compatíveis com NFC, permitindo a troca de
informações através de um campo magnético de radiofrequência com sinal de
13,56 MHz, e largura de banda de até 424 Kbps.
2.2. Protocolos e comunicação
Conforme Coimbra (2016, pág. 20), “a arquitetura da tecnologia NFC é
baseada em camadas, sendo elas: camada física e camada de enlace, sendo
esta subdividida em subcamada de controle de enlace lógico e subcamada de
acesso ao meio”. Para realizar a comunicação entre o cartão e o leitor podem
ser definidos, dentre os principais, os formatos para troca de mensagens: NFC
Logical Link Control Protocol (LLCP), NFC Digital Protocol, NFC Activity, NFC
4. 4
Simple, NDEF Exchange Protocol (SNEP), NFC Analog e NFC Controller
Interface (NCI), sendo o NFC Data Exchange Format (NDEF) um dos mais
utilizados.
Utilizando os protocolos descritos, e segundo SOUZA e MARTINS (2016),
TUBINO (2016) e LIMA (2013), existem basicamente três maneiras que os
dispositivos NFC podem ser utilizados:
- 1) Modo passivo ou leitor / escrita de Tag, no qual o iniciador da
comunicação fornece a energia e o alvo é alimentado pelo campo
magnético do iniciador. Nesse formato, o leitor pode tanto ler quanto
escrever os dados em uma Tag que utiliza a tecnologia NFC.
- 2) Modo ativo ou ponto a ponto, em que ambos, tanto o iniciador quanto
o alvo têm suas próprias fontes de energia. Nesse tipo de utilização, é
mais comumente utilizado para trocar informações entre os dispositivos,
podendo ser em ambas as direções.
- 3) Modo emulador de cartão, que permite a um dispositivo móvel que
contenha o NFC funcionar como cartão inteligente e pode trabalhar
diretamente com o cartão SimCard. Atualmente sua principal utilização é
em pagamentos e transações bancárias, substituindo até mesmo nossos
cartões de crédito e débito.
Imagem 1 - Modos de utilização do NFC
Fonte: https://www.nfc-forum.org (Adaptado)
5. 5
3. A SEGURANÇA EM MEIO A UTILIZAÇÃO
Como já explanado anteriormente, devido às facilidades criadas com o
NFC, este vem sendo amplamente utilizado como forma de pagamentos por
instituições bancárias, cartões recarregáveis para transportes públicos, chaves
para controle de acesso, transferência de dados e informações entre
smartphones, e em um futuro próximo cada vez mais explorado, a chave dos
nossos veículos automotivos.
Mas assim como qualquer outra tecnologia atualmente existente, o NFC
também está suscetível a erros, falhas e principalmente vulnerabilidades. Apesar
dessa tecnologia ser aplicada em transações que exigem certo grau de
segurança, faz-se necessário o conhecimento dos métodos de prevenção para
a proteção de qualquer possível ameaça.
3.1. PRINCIPAIS FORMAS DE AMEAÇA
3.1.1. Clonagem de Dispositivos
Segundo OTA (2016), um atacante pode se apoderar do conteúdo de uma
etiqueta NFC, clonando assim toda a sua memória. Esse pode ser um risco a
segurança se a Tag que for implantada não possuir nenhum tipo de proteção
contra clonagem.
3.1.2 Modificação de Dados
No estudo realizado por TUBINO (2016), pode-se perceber que alguns
modelos de etiquetas NFC, que realizam apenas operações de leitura e escrita,
são amplamente utilizadas na área comercial principalmente devido ao seu baixo
custo de utilização. Mas por sua simplicidade, essas Tags se tornam mais
vulneráveis a ataques de adulteração de dados, trocando-os por informações
falsas, que podem até ser utilizadas para benefício do atacante. Um sistema que
fizer a inserção desse tipo de informação pode chegar a perder a integridade dos
seus dados.
3.1.3 Retransmissão de dados
Segundo o estudo realizado por KAZIENKO e TUBINO (2016), podemos
entender que o ataque de retransmissão de dados pode ser entendido como a
criação de uma “ponte” de comunicação entre dois dispositivos. Dessa forma, o
dispositivo atacante se conecta a um terminal NFC, recebe a transmissão dos
dados, logo após pode retransmitir a mensagem para o dispositivo de destino
original, ou até mesmo para um segundo dispositivo atacante via Bluetooth. Esse
6. 6
tipo de ataque pode realizar a comunicação entre dispositivos a uma maior
distância, fraudando a segurança da curta distância proporcionada pelo NFC.
3.1.4 Autenticação de Dispositivos
Dependendo da forma que a tecnologia NFC for ser aplicada, ela poderá
ser utilizada apenas para leitura de uma Tag, por exemplo, o que poderá
inviabilizar a autenticação, impedindo assim a confirmação de uma mensagem
autêntica quando a mesma chegar ao seu destino. Nos casos de comunicação
em modo passivo (leitura de Tag), a inclusão de chaves criptográficas ou até
mesmo autenticação mútua e/ou constante pode se tornar inviável, pois esse
tipo de criptografia exige troca de informações entre os dispositivos.
3.1.5 Interceptação de dados e a confidencialidade
A confidencialidade é uma propriedade relevante na área de segurança.
Apesar da pequena distância da comunicação entre dois dispositivos NFC, ela é
suscetível à intercepção dos dados dos envolvidos na comunicação. Nesse tipo
de ameaça, “a informação é interceptada por um dispositivo atacante, mas não
barrada no transporte entre a fonte e o destino” (TUBINO, 2016), podendo assim
a informação ficar acessível ao invasor.
3.2. PRINCIPAIS MECANISMOS DE SEGURANÇA
3.2.1. Distância
Devido a comunicação entre dois dispositivos NFC exigir uma distância
muito pequena, isto se torna por si só, a princípio, uma forma de segurança
eficiente, pois dificulta a interceptação do sinal de forma considerada.
3.2.2. Criptografia
O ciframento das mensagens através da criptografia garante uma maior
segurança em sua utilização. De forma simplificada, conforme detalhado por
LIMA (2013), a criptografia consiste em um método de transformar um texto
simples em uma mensagem ilegível, de forma que apenas o remetente e o
destinatário consigam interpretá-la. A criptografia das informações a serem
transmitidas via NFC são uma forma segura de evitar-se principalmente a
clonagem de um dos dispositivos ou até mesmo a interceptação dos dados. Se,
por exemplo, um smartphone que contenha o NFC for infectado por um vírus ou
um aplicativo malicioso tentar interceptar a comunicação com a etiqueta NFC, a
criptografia dos dados pode resguardar a privacidade e a segurança dos dados
dos usuários, garantindo assim a confidencialidade das informações.
7. 7
3.2.3. O protocolo SWP e o SimCard
O protocolo SWP (Single Wire Protocol) é uma interface utilizada junto ao
chip NFC do smartphone para oferecer uma comunicação mais segura com o
cartão SIM (SimCard ou popularmente conhecido como “chip de celular”
oferecidos pelas operadoras de telecomunicações). “Ele ainda não é
amplamente adotado e sua implementação não é tão simples” (SOUZA;
MARTINS. 2016). Mas quando utilizado, o cartão SIM pode ser usado para
armazenar dados codificados e protegê-los, acrescentando uma camada extra
de segurança ao uso da tecnologia NFC.
3.2.4. Autenticidade
Um atacante se apresentar como usuário legítimo do sistema é uma forma
de ameaça a segurança da informação. Visando a quebra desse possível
problema, o NFC permite a implantação de protocolos de terceiros para
realização da autenticação bilateral, assim como a complementação de modelos
de segurança. Dentre este último, encontra-se um dos principais modelos para
pagamentos eletrônicos, o EMV (Europay, Mastercard e Visa). Já nos casos de
modo passivo, de acordo com KAZIENKO e TUBINO (2016), a inserção de uma
assinatura digital juntamente dos dados no processo de gravação dos dados nas
Tags é capaz de proteger o usuário contra possíveis conteúdos maliciosos.
8. 8
4. CONCLUSÃO
Conclui-se com esse estudo, que o NFC é uma tecnologia bem versátil
em comparação com a sua simplicidade, permitindo ser utilizada em diversas
aplicações, desde a leitura de uma Tag que envia um comando para o celular do
usuário, como por exemplo, ou trocar arquivos entre dois dispositivos, até a
substituição da chave que abre uma trava eletrônica.
Apesar de possuir diferentes protocolos e funcionar em conjunto com
diversos modelos, assim como qualquer tecnologia existente atualmente no
mercado, ela também está suscetível a falhas e ameaças como, por exemplo,
ataques através da clonagem dos dispositivos, da interceptação e até mesmo da
quebra da confidencialidade, um dos pilares que sustentam a segurança da
informação. Em contrapartida às possíveis ameaças, o NFC também possui
meios bem flexíveis para garantir a segurança dos dados na comunicação; como
a curta distância de comunicação entre os dispositivos, além de permitir por meio
da implantação de protocolos e modelos de terceiros, fornecendo assim uma
camada extra de segurança para uso da tecnologia em pagamentos.
Durante a elaboração deste artigo, foi possível notar que ainda existe uma
área grande de estudo a ser aprofundada e explorada. Podemos dividi-la em
duas vertentes: uma teórica, que envolve por exemplo um estudo mais
aprofundado e específico sobre a Rádio Frequência, as normas técnicas de
regulamentação, camadas e transmissão dos dados, protocolos utilizados, assim
como a criptografia e aplicativos somados ao NFC, e um outro destino mais
prático, envolvendo uma simulação de ataque ao NFC, clonagem de Tag,
comparação de segurança envolvendo aplicações Mobile, aplicação comercial e
empresarial, e até mesmo uma pesquisa científica abordando das principais
dificuldades para pagamento de contas via NFC em Goiânia. Como objetivo de
um trabalho posterior, pretendo realizar um controle de informações semelhante
ao proposto por SOUZA e MARTINS (2016), envolvendo os Pacientes, Rotinas
Hospitalares, Estoque e Ponto.
9. 9
5. REFERÊNCIAS BIBLIOGRÁFICAS
CHAVES, Marcelo; MATSUNO, Ricardo Barbosa. Mecanismos de segurança
em SmartCards EMV. 2003. 25 p. Artigo (Instituto de Computação) -
Universidade Estadual de Campinas – UNICAMP, São Paulo, 2003.
COIMBRA, Diego da Silva. O Uso da Tecnologia NFC na Identificação PET.
2016. 49 f. Monografia (Curso de Bacharelado em Ciência da Computação) -
Universidade Estadual do Sudoeste da Bahia, Vitória da Conquista, 2016.
IBGE, Síntese de Indicadores Sociais. Nº 36. ed. Rio de Janeiro: 2016.
Disponível em: < https://biblioteca.ibge.gov.br/visualizacao/livros/liv98965.pdf>
WEB INFORMADO. CELULARES MAIS VENDIDOS NO BRASIL. [2018].
Disponível em: <https://webinformado.com.br/Tag/celulares-mais-vendidos-no-
brasil-2018/>. Acesso em 08 de setembro de 2018.
KAZIENKO, Juliano Fontoura; TUBINO, Emilio Roberto Reginaldo. NFC. In: XVI
Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais, 2016, Niterói - RJ. Um Estudo Acerca das Fraudes na
Comunicação por Campo de Proximidade... [S.l.: s.n.], 2016. p. 586-596.
KEMP, Simon. The global state of digital in 2018 - from Argentina to
Zambia. Vancouver, Canadá, 2018. Disponível em:
https://hootsuite.com/pt/pages/digital-in-2018. Acesso em: 20 out. 2018.
LIMA, Danilo Souza. Proposta para Controle de Acesso Físico Seguro
Baseada em Near Field Communication (NFC) e Android. 97 p. Monografia
(Engenharia Elétrica) - Universidade de São Paulo - USP, São Carlos, 2013.
OTA, Fernando Kaway Carvalho. Autenticação de Dispositivos Móveis
usando NFC. 2016. 81 f. Artigo (Pós-Graduação em Ciência da Computação) -
Universidade Estadual Paulista, São José do Rio Preto, 2016.
10. 10
SOUZA, Janine Virgínia Da Silva; MARTINS, Nathália Cavalcanti. Proposta de
Controle de Acesso e Rotina Hospitalar Baseado em NFC e Banco de
Dados. 2016. 65 p. Monografia (Graduação em Engenharia de
Telecomunicações) - Universidade Federal Fluminense, Niterói, 2016.
TUBINO, Emilio Roberto Reginaldo. Um Estudo Acerca das Fraudes na
Comunicação por Campo de Proximidade. 2016. 70 p. Monografia (Bacharel
em Ciência da Computação) - Universidade Federal do Pampa, Alegrete, 2016.