Οι ερευνητές βρίσκουν προβλήματα με τις κάρτες Passport RFID

Οι ετικέτες RFID που χρησιμοποιούνται σε δύο νέους τύπους εγγράφων διέλευσης των συνόρων στις ΗΠΑ είναι ευάλωτοι στο snooping και την αντιγραφή, ανέφερε ερευνητής την Πέμπτη

Κάρτες διαβατηρίων Ηνωμένων Πολιτειών που εκδίδονται από το Υπουργείο Εξωτερικών των ΗΠΑ και τα EDL βελτιωμένες άδειες οδηγού) από την πολιτεία της Ουάσινγκτον περιέχουν ετικέτες RFID (αναγνώριση ραδιοσυχνοτήτων) που μπορούν να σαρωθούν στα σημεία διέλευσης των συνόρων χωρίς να παραδοθούν στους πράκτορες. Και οι δύο εισήχθησαν νωρίτερα φέτος για τη διέλευση των συνόρων μόνο από το έδαφος και το νερό και δεν μπορούν να χρησιμοποιηθούν για αεροπορικά ταξίδια. Η Νέα Υόρκη είναι η μόνη άλλη αμερικανική πολιτεία με EDL, αν και άλλες βρίσκονται στο έργο.

Οι πληροφορίες σε αυτές τις ετικέτες θα μπορούσαν να αντιγραφούν σε μια άλλη ετικέτα off-the-shelf, η οποία θα μπορούσε να χρησιμοποιηθεί για να μιμηθεί τον νόμιμο κάτοχο της κάρτας, αν ένας υπάλληλος του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ στα σύνορα δεν είδε την ίδια την κάρτα, ανέφεραν οι ερευνητές. Ένας άλλος κίνδυνος είναι ότι οι ετικέττες μπορούν να διαβαστούν από απόσταση μέχρι 150 πόδια σε ορισμένες περιπτώσεις, έτσι οι εγκληματίες θα μπορούσαν να τα διαβάσουν χωρίς να εντοπιστούν. Παρόλο που οι ετικέτες δεν περιέχουν προσωπικές πληροφορίες, θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση των κινήσεων ενός ατόμου μέσω συνεχούς επιτήρησης.

Ένας άλλος κίνδυνος είναι ότι οι χάκερ θα μπορούσε να προκαλέσει την αυτοκαταστροφή του EDL με την αποστολή ενός συγκεκριμένου αριθμού, δήλωσαν.

«Θα ήταν σχετικά εύκολο για κάποιον να διαβάσει την κάρτα διαβατηρίου ή το EDL», δήλωσε ο Tadayoshi Kohno, βοηθός καθηγητής πληροφορικής και μηχανικών το Πανεπιστήμιο της Ουάσινγκτον

Αν και δεν υπάρχει κανένας λόγος για πανικό, «οι καρδιές μας θα πρέπει να αρχίσουν να χτυπούν λίγο πιο γρήγορα», είπε ο Kohno. Ο κίνδυνος για μεμονωμένους επιβάτες είναι χαμηλός, αλλά τα προβλήματα δημιουργούν συστηματικές αδυναμίες στο σύστημα διέλευσης των συνόρων, σύμφωνα με μια περίληψη της έκθεσης.

Οι επιχειρήσεις λιανικής, ναυτιλίας και άλλες επιχειρήσεις χρησιμοποιούν ολοένα και περισσότερο ετικέτες RFID ως ασύρματους γραμμικούς κώδικες που μπορούν να περιέχουν περισσότερες πληροφορίες από τις παραδοσιακές τυπωμένες. Η ανάπτυξη της τεχνολογίας κάνει τα εργαλεία RFID hacking πιο εύκολα διαθέσιμα, δήλωσε ο Kohno

Σε μια επίθεση κλωνοποίησης, ένας χάκερ μπορούσε να διαβάσει τις πληροφορίες από την ετικέτα RFID μιας κάρτας είτε όταν ο κάτοχος της κάρτας περνούσε είτε ως επίσημος ο αναγνώστης καρτών έβγαζε τα δεδομένα. Ο επιτιθέμενος θα μπορούσε τότε να κωδικοποιήσει μια γενική ετικέτα RFID με τα ίδια δεδομένα, ανέφερε ο Kohno. Με αυτήν την πρόσφατα κωδικοποιημένη ετικέτα, κάποιος θα μπορούσε να γλιστρήσει μέσω των συνόρων εμφανίζοντας στον αναγνώστη RFID να έχει μια νόμιμη ταυτότητα, αρκεί κανένας να μη ζητήσει να δει την πραγματική κάρτα.

Οι ίδιοι οι ευπάθειες RFID δεν σημαίνει ότι κάποιος θα ξεφύγει με κλωνοποίηση ή άλλες επιθέσεις, επεσήμανε ο Kohno

"Στην πραγματικότητα, το σύστημα που εμπλέκεται στις διέλευση των συνόρων είναι πολύ μεγαλύτερο από ό, τι μόνο η τεχνική πτυχή", ανέφερε ο Kohno. Για παράδειγμα, οι αρχές είναι πιθανό να συνεννούν τους οδηγούς και τους επιβάτες που διασχίζουν τα σύνορα και να δουν τις δικές τους ταυτότητες, είπε. Μπορεί επίσης να χρησιμοποιήσουν άλλα μέτρα κατά της κλωνοποίησης καρτών κοντά στα σημεία διέλευσης των συνόρων.

Ωστόσο, ο Kohno και άλλοι τρεις ερευνητές πιστεύουν ότι υπάρχουν διαθέσιμες μηχανισμοί για τις ετικέτες RFID που οι κυβερνήσεις των ΗΠΑ και της Ουάσινγκτον δεν χρησιμοποιούν. κάθε ετικέτα έχει δύο εξειδικευμένους αριθμούς: ένα PIN πρόσβασης (προσωπικό αναγνωριστικό αριθμό) και ένα PIN τελεστής. (Αυτά είναι μεγαλύτερα από τα PIN της τράπεζας-κάρτας και δεν επιλέγονται από τους κατόχους καρτών.) Το PIN πρόσβασης μπορεί να χρησιμοποιηθεί για να επιβεβαιώσει ότι η ετικέτα είναι νόμιμη και το PIN kill μπορεί να χρησιμοποιηθεί για να καταστήσει την ετικέτα ακατανόητη. Τα PIN χρησιμοποιούνται τόσο στις κάρτες διαβατηρίων όσο και στις κάρτες EDL, αλλά υπάρχουν πρόσθετα μέτρα ασφαλείας που οι ερευνητές δεν πιστεύουν ότι οι αρχές χρησιμοποιούν. Για παράδειγμα, θα μπορούσαν να δοκιμάσουν το PIN πρόσβασης χρησιμοποιώντας πληροφορίες από μια βάση δεδομένων, ανέφερε ο Kohno. Επιπλέον, ο κωδικός PIN για το kill δεν έχει ρυθμιστεί στα EDL της Ουάσινγκτον, γεγονός που θα μπορούσε να τους καταστήσει ευάλωτο σε μια επίθεση που θα καθιστούσε ακατανόητες όλες αυτές τις κάρτες σε έναν συγκεκριμένο ιστότοπο. Μια τέτοια επίθεση θα μπορούσε να προκαλέσει ενοχλήσεις ή να υπονομεύσει την εμπιστοσύνη των ταξιδιωτών, ανέφερε η περίληψη.

Οι ερευνητές έχουν δώσει συστάσεις τόσο στις αμερικανικές όσο και στις αρχές της Ουάσινγκτον, ανέφερε ο Kohno

Τα αμερικανικά διαβατήρια, τα οποία είναι φυλλάδια αντί για κάρτες, δεν επηρεάζονται από αυτά τα τρωτά σημεία, επειδή οι ετικέτες RFID έχουν κρυπτογραφικές προστασίες και τα φυλλάδια έχουν μεταλλικά οι ερευνητές προτείνουν ότι οι καταναλωτές χρησιμοποιούν τα προστατευτικά μανίκια που έρχονται και με τα δύο φύλλα, τα οποία μπορούν να βοηθήσουν στην αποτροπή της παράνομης σάρωσης. Οι ταξιδιώτες μπορούν επίσης να χρησιμοποιήσουν τα ασφαλέστερα διαβατήρια ΗΠΑ πλήρους μεγέθους.