بحث جديد يكشف عن عيوب خطيرة في أمن البطاقة الذكية RFID

دراسة رائدة تكشف عن نقاط الضعف في بطاقات RFID الذكية المستخدمة على نطاق واسع

أثارت دراسة شاملة جديدة أجراها معهد الأمن السيبراني في جامعة التخنيون إنذارات كبيرة فيما يتعلق بأمن البطاقات الذكية RFID (تحديد الترددات الراديوية)، المنتشرة في كل مكان في التحكم في الوصول، وأنظمة الدفع، والنقل العام.

يوضح البحث الذي يحمل عنوان "انعدام الأمن الطبقي لتطبيقات RFID الحديثة" أن جزءًا كبيرًا من بطاقات RFID الذكية المنتشرة حاليًا تعتمد على بروتوكولات تشفير قديمة أو ضعيفة التنفيذ. تمكن الباحثون من استنساخ العديد من نماذج البطاقات الشائعة والتنصت عليها، وفي بعض الحالات تجاوزها تمامًا، باستخدام أجهزة جاهزة للاستخدام وبأسعار معقولة.

وأوضحت الدكتورة إيلينا فانس، الباحثة الرئيسية، أن "العديد من المنظمات والمستهلكين يفترضون أن هذه البطاقات آمنة بطبيعتها". "تُظهر النتائج التي توصلنا إليها أن الشعور الزائف بالأمان منتشر. لقد نجحنا في اعتراض الاتصال بين البطاقات والقراء من مسافة بعيدة، وحصدنا معرفات فريدة، واستغلنا نقاط الضعف في التشفير لإنشاء نسخ مكررة وظيفية."

تنبع نقاط الضعف من عدة عوامل: استمرار استخدام البروتوكولات القديمة مثل MIFARE Classic، وممارسات الإدارة الرئيسية السيئة من قبل الشركات المصنعة والمستخدمين النهائيين، والطبيعة المادية للاتصالات اللاسلكية، والتي تكون عرضة بطبيعتها لهجمات القشط والترحيل. وتسلط الدراسة الضوء على أنه على الرغم من وجود بطاقات عالية الأمان (على سبيل المثال، تلك التي تستخدم تشفير AES الحديث)، فإن خفض التكاليف غالبًا ما يؤدي إلى نشر تكنولوجيا أقل جودة.

إن التداعيات وخيمة. أصبح الوصول غير المصرح به إلى المباني، والمدفوعات الاحتيالية، وسرقة الهوية، وتتبع تحركات الأفراد، أمرًا ممكنًا بالنسبة للجهات الفاعلة الضارة. البنية التحتية الحيوية ومكاتب الشركات وأقفال غرف الفنادق التي تعتمد فقط على هذه البطاقات الضعيفة معرضة للخطر بشكل خاص.

واستجابة للنتائج، يحث خبراء الأمن السيبراني على اتباع نهج أمني متعدد الطبقات. تشمل التوصيات ما يلي:

• التخلص التدريجي بطاقات RFID القديمة لصالح البدائل الحديثة وقوية التشفير.

• التنفيذ المصادقة الثنائية (على سبيل المثال، البطاقة بالإضافة إلى رقم التعريف الشخصي أو القياسات الحيوية).

• منتظم عمليات التدقيق الأمني واختبار الاختراق لأنظمة الوصول المادية.

• وعي المستخدم حول مخاطر قشط البطاقة في الأماكن العامة.

وقد أقرت الشركات المصنعة الكبرى للبطاقات بالتقرير، مع التزام العديد منها بتسريع تقاعد خطوط التكنولوجيا القديمة. وتتعرض هيئات المعايير أيضًا لضغوط لفرض عمليات إصدار شهادات أكثر صرامة.

واختتم الدكتور فانس حديثه قائلاً: "إن أمان البطاقة الذكية RFID ليس ميزة ثابتة؛ إنه سباق تسلح مستمر. "هذا البحث هو بمثابة دعوة للاستيقاظ. وبينما نقوم بدمج هذه التقنيات بشكل أعمق في حياتنا اليومية وأنظمتنا الحيوية، يجب علينا أن نستثمر في مرونتها بنفس القدر من الإلحاح الذي نستثمره في شبكاتنا الرقمية.

سيتم تقديم التقرير الفني الكامل في المؤتمر الدولي المقبل لأجهزة التشفير والأنظمة المدمجة (CHES).