Android 安卓NFC应用程序安全测试

我如何着手对安卓NFC应用程序进行安全测试？是否有任何工具或方法可用于对在P2P模式或卡模拟模式下进行通信的Android NFC应用程序进行安全测试？

现有专门用于模拟P2P或标记通信的工具，但这些工具通常非常昂贵。但是在你走那条路线之前，考虑一下你想保护你的NFC应用程序的安全威胁是有意义的。Android负责所有低级别的NFC通信，因此您的应用程序不必担心这一点。NDEF数据的解析也由Android系统完成。因此，我想说的是，你的应用程序的大部分事情都是由安卓系统处理的，你的应用程序不需要担心这一点。

看看这个：

关于你对NFC Guy的帖子“没有Android”的评论，你应该自己处理大部分内容：

• 在NFC连接上可以进行窃听，但没有提供加密，如果您希望保持通过NFC连接发送的信息的安全，请在应用程序级别执行一些加密。Proxmark3等设备可以窃听NFC通信：

• 数据修改是可能的，但它取决于链接的编码。。。有关这方面的更多信息，请参阅Wikipedia页面，我对这一级别的知识不多

• 在NFC连接上可能会发生中继攻击，像这样的文章：展示了一个正在实施的中继攻击的实际实现，只需使用黑莓和诺基亚手机。您可以尝试使用距离边界协议或基于位置的协议来检测它们，尽管这些协议有些不精确

---

什么样的安全测试？我认为它被称为“你的大脑，一个嗅探器和一个好的脚本语言”。我相信Android默认情况下不会提供针对已知NFC安全漏洞的保护，如数据修改/插入、窃听、，中继攻击等。那么有没有任何方法可以测试Android NFC应用程序抵御此类攻击？好的，我称之为应用程序级安全性。我认为，这并不是NFC的特例，因为NFC可能不会比其他无线技术更容易受到这些攻击。应用程序安全性不应依赖于通信链路的安全性。我对你的问题的解释是关于由NFC相关的软件堆栈导致的潜在软件问题：格式错误的消息、缓冲区溢出等等。我想说的是，Android及其Java环境提供了相当好的保护，防止这种开箱即用的情况。在P2P模式下，Android应用程序所能做的就是接收NDEF消息，并在每个连接上发送一条NDEF消息。因此，通过NFC在手机之间建立一个复杂的认证协议可能是不可能的。可以加密和/或MAC所有NDEF消息的有效负载。中继检测对我来说似乎不太可能，因为有限的消息交换。卡模拟发生在应用程序控制之外，由硬件处理。其安全性取决于嵌入式安全元素的安全性（这是Nexus S和Galaxy Nexus的通用认证标准）。