Inilalantad ng Bagong Pananaliksik ang Mga Kritikal na Kapintasan sa RFID Smart Card Security

Ang Groundbreaking Study ay Nagpapakita ng Mga Kahinaan sa Malawakang Ginagamit na RFID Smart Card

Ang isang bagong komprehensibong pag-aaral mula sa Institute of Cybersecurity sa Technion University ay nagtaas ng mga makabuluhang alarma tungkol sa seguridad ng RFID (Radio-Frequency Identification) smart card, na nasa lahat ng dako sa access control, mga sistema ng pagbabayad, at pampublikong transportasyon.

Ang pananaliksik, na pinamagatang "The Layered Insecurity of Modern RFID Implementations," ay nagpapakita na ang isang malaking bahagi ng RFID smart card na kasalukuyang naka-deploy ay umaasa sa luma o mahinang ipinatupad na mga encryption protocol. Nagawa ng mga mananaliksik na mag-clone, mag-eavesdrop, at sa ilang mga kaso, ganap na i-bypass ang seguridad ng ilang karaniwang mga modelo ng card gamit ang abot-kaya, off-the-shelf na hardware.

"Maraming mga organisasyon at mga mamimili ang ipinapalagay na ang mga card na ito ay likas na ligtas," paliwanag ni Dr. Elena Vance, ang nangungunang mananaliksik. "Ang aming mga natuklasan ay nagpapakita na ang isang maling pakiramdam ng seguridad ay laganap. Matagumpay naming naharang ang komunikasyon sa pagitan ng mga card at mga mambabasa mula sa malayo, nakakuha ng mga natatanging identifier, at pinagsamantalahan ang mga kahinaan ng cryptographic upang lumikha ng mga functional na duplicate."

Ang mga kahinaan ay nagmumula sa ilang salik: ang patuloy na paggamit ng mga legacy na protocol tulad ng MIFARE Classic, mahihirap na pangunahing kasanayan sa pamamahala ng mga manufacturer at end-user, at ang pisikal na katangian ng wireless na komunikasyon, na likas na madaling kapitan ng mga pag-atake ng skimming at relay. Itinatampok ng pag-aaral na habang umiiral ang mga high-security card (hal., yaong mga gumagamit ng modernong AES encryption), madalas na humahantong ang pagbawas sa gastos sa pag-deploy ng mababang teknolohiya.

Matindi ang implikasyon. Ang hindi awtorisadong pag-access sa gusali, mga mapanlinlang na pagbabayad, pagnanakaw ng pagkakakilanlan, at ang pagsubaybay sa mga paggalaw ng mga indibidwal ay nagiging posible para sa mga malisyosong aktor. Ang mga kritikal na imprastraktura, mga opisina ng korporasyon, at mga kandado ng silid ng hotel na nakadepende lamang sa mga mahihinang card na ito ay partikular na nasa panganib.

Bilang tugon sa mga natuklasan, hinihimok ng mga eksperto sa cybersecurity ang isang multi-layered na diskarte sa seguridad. Kasama sa mga rekomendasyon ang:

• Pag-phase out mga legacy na RFID card na pabor sa mga makabagong alternatibong malakas sa cryptographically.

• Pagpapatupad dalawang-factor na pagpapatunay (hal., card plus PIN o biometrics).

• Regular mga pag-audit sa seguridad at penetration testing ng mga physical access system.

• Kamalayan ng gumagamit tungkol sa mga panganib ng card skimming sa mga pampublikong espasyo.

Kinilala ng mga pangunahing tagagawa ng card ang ulat, na may ilan na nangangako na pabilisin ang pagreretiro ng mga mas lumang linya ng teknolohiya. Ang mga katawan ng pamantayan ay nasa ilalim din ng presyon upang mag-utos ng mas mahigpit na mga proseso ng sertipikasyon.

"Ang seguridad ng RFID smart card ay hindi isang static na tampok; ito ay isang patuloy na karera ng armas," pagtatapos ni Dr. Vance. "Ang pananaliksik na ito ay isang wake-up call. Habang isinasama natin ang mga teknolohiyang ito nang mas malalim sa ating pang-araw-araw na buhay at mga kritikal na sistema, dapat tayong mamuhunan sa kanilang katatagan na may parehong pagkaapurahan gaya ng ginagawa natin para sa ating mga digital network."

Ang buong teknikal na ulat ay ipapakita sa paparating na International Conference on Cryptographic Hardware and Embedded Systems (CHES).