CNET科技资讯网8月8日国际报道
参加Defcon和黑帽安全会议的研究员指出,普遍用于大楼出入管制、高速公路电子收费系统和电子护照的无线射频识别(RFID)标签非常容易复制,具有严重的安全风险。
两场会议的与会研究员分别示范如何用笔记本电脑,搭配200美元的RFID识别器和同等价格的智能卡读写器,轻松复制RFID标签。此外,他们认为旅行文件内植的RFID标签可在一定的距离外识别美国护照,可能会被恐怖份子用来引爆炸弹。
德国DN-Systems研究员LukasGrunwald在黑帽大会上示范如何复制他个人护照上的RFID标签,然后将信息写入附有RFID芯片的智能卡上。拷贝的芯片可用来伪造护照。他接受CNET访问时表示:“我们把芯片设定成护照模式。”
未授权复制的威胁影响到数百万将于今年10月换发电子护照的美国民众。当初信誓旦旦地排除外界担忧,宣称RFID护照防伪功能较强的官员,如今也面临质疑。
Grunwald说他尚未找出电子护照信息加密与保护机制的破绽,换句话说,虽然可借由扫瞄复制RFID芯片,却不能变更其中所含的信息。Grunwald利用复制的海关检查站,读取芯片信息。
Grunwald表示,他花了“两星期和5,000美元律师费”完成这个计划,使用RFID识别器和一些自制软件。在4日的Defcon会议中,他也测试某些企业的门禁管制卡,同样复制成功。这代表攻击者也能利用这种方法进入有保全的大楼。
Grunwald说:“RFID的使用可以很安全,但特别是电子护照,其标准是妥协的结果,妥协就做不到安全。正确的作法需要大量研究,而那种研究目前并未完成。”Grunwald正准备创办一家以RFID安全为主的公司。
放眼全球,RFID标签几乎被各国政府视为护照防伪的答案。几个欧洲国家已赶在美国之前发出电子护照,民间支持者和若干安全专家都曾警告贸然改用电子护照的可能威胁。信息外泄是其中之一,在设计上,RFID标签可用识别器读取。
但无线安全公司Flexilis研究员KevinMahaffey指出,目前的设计只要护照稍微打开即可被侦测到。他说,虽然这样无法实际判读芯片上的信息,“攻击者只要有能力知道某人带着护照,就是一项严重的安全缺失。”
Mahaffey说,只要辨别RFID芯片的特征,就有可能确定护照持有者的国籍。他表示:“一个极端的情况是,这可能造成只有美国人在附近时,炸药才会引爆。”Mahaffey在黑帽大会上播放一段示范影片。
Flexilis建议,护照封面应加上双重防护和另一个特制的RFID标签,让护照在非全开的状态下无法被判读。为免信息外泄,Grunwald用一种德国制的铝片护照夹,据说可防止无线标签被读取。
此外,Grunwald表示,由于德国护照的RFID标签仍有一些问题,政府决定即使RFID标签失效,该护照仍可使用。德国黑客俱乐部TheChaosComputer Club想出一个有创意的解决方案,Grunwald说:“他们建议,就把护照放进微波炉即可。” |