Исследователи обнаружили проблемы с картами RFID-паспорта

Теги RFID, используемые в двух новых типах документов для пересечения границ в США, уязвимы для отслеживания и копирования, сказал исследователь в четверг.

Паспортные карточки США, выпущенные Госдепартаментом США и EDL (расширенные водительские права) из штата Вашингтон содержат метки RFID (радиочастотная идентификация), которые можно сканировать на пограничных переходах без передачи агентам. Оба были введены в начале этого года для пересечения границ только сушей и водой и не могут использоваться для авиаперевозок. Нью-Йорк - единственное другое государство в США с EDL, хотя другие находятся в работе.

Информация в этих тегах может быть скопирована на другой, готовый тег, который может использоваться для олицетворения законного владельца исследователи заявили, что если бы сотрудники Департамента внутренней безопасности США на границе не увидели эту карточку, Другая опасность заключается в том, что в некоторых ситуациях метки могут считываться с расстояния до 150 футов, поэтому преступники могут читать их, не будучи обнаруженными. Хотя теги не содержат личной информации, они могут использоваться для отслеживания движений человека посредством постоянного наблюдения, сказали они.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Еще одна опасность заключается в том, что хакеры может привести к самоуничтожению EDL путем отправки определенного номера, сказали они.

«Было бы относительно легко кому-то прочитать вашу карточку паспорта или EDL», - сказал Тадайоши Коно, доцент кафедры информатики и инженерии в Вашингтонский университет.

Хотя нет никаких оснований для паники: «Наши сердца должны начать биться немного быстрее», сказал Коно. Риск для отдельных пассажиров низкий, но проблемы создают системные недостатки в системе пересечения границ, согласно сводке отчета.

Розничная торговля, доставка и другие предприятия все чаще используют метки RFID в качестве беспроводных штрих-кодов, которые могут содержать больше информации, чем традиционные печатные. По словам Коно, рост технологии значительно облегчает доступ к инструментам взлома RFID.

В клонирующей атаке хакер мог считывать информацию с RFID-метки карты, либо когда держатель карты проходил мимо, либо как официальный считыватель карт собирал данные. Затем злоумышленник мог кодировать общий тег RFID с теми же данными, сказал Коно. С помощью этого недавно закодированного тега кто-то может проскользнуть через границу, появляясь в RFID-считывателе, чтобы иметь законную идентификационную карточку, если никто не попросил посмотреть фактическую карту.

Сами по себе уязвимости RFID не означает, что кто-то уйдет с клонированием или другими атаками, отметил Коно.

«На самом деле система, использующая пограничные переходы, намного больше, чем просто технический аспект», - сказал Коно. Например, власти могут опросить водителей и пассажиров, пересекающих границу, и посмотреть их идентификационные карточки, сказал он. Они также могут использовать другие меры против клонирования карт вблизи пограничных переходов.

Однако Коно и трое исследователей считают, что существуют механизмы, доступные для тегов RFID, которые не используются правительствами США и Вашингтона.

Например, каждый тег имеет два специализированных номера: PIN-код доступа (персональный идентификационный номер) и PIN-код для удаления. (Они больше, чем PIN-коды банковской карты и не выбраны держателями карт.) PIN-код доступа может использоваться для проверки того, что тег является законным, а PIN-код для удаления может использоваться для отображения нечитаемого тега.

Доступ PIN-коды используются как на карточках паспортов, так и на EDL, но есть дополнительные меры безопасности, которые исследователи не считают, что власти используют. Например, они могут протестировать PIN-код доступа, используя информацию из базы данных, сказал Коно. Кроме того, PIN-код для убийства не настроен на Вашингтонских EDL, что может сделать их уязвимыми для атаки, которая сделает все такие карты на определенном сайте нечитаемыми, сказал он. Это нападение может вызвать недовольство или подорвать доверие путешественников, говорится в сводке.

Исследователи дали рекомендации как властям США, так и Вашингтона, сказал Коно.

Полные размерные паспорта США, которые представляют собой буклеты вместо карточек, не подвержены этим уязвимостям, поскольку их метки RFID имеют криптографическую защиту, а буклеты имеют металлический которые защищают от слежки, считают исследователи.

Для самозащиты исследователи предлагают потребителям использовать защитные рукава, которые поставляются с обеими картами, что может помочь предотвратить тайное сканирование. Путешественники также могут использовать более безопасные полноразмерные паспорта США.