Новое исследование выявило критические недостатки в защите RFID-смарт-карт

Революционное исследование выявило уязвимости в широко используемых смарт-картах RFID

Новое комплексное исследование Института кибербезопасности Университета Технион вызвало серьезную тревогу в отношении безопасности смарт-карт RFID (радиочастотная идентификация), повсеместно используемых в системах контроля доступа, платежных системах и общественном транспорте.

Исследование, озаглавленное «Многоуровневая незащищенность современных реализаций RFID», демонстрирует, что значительная часть используемых в настоящее время смарт-карт RFID использует устаревшие или слабо реализованные протоколы шифрования. Исследователям удалось клонировать, подслушивать, а в некоторых случаях и полностью обойти защиту нескольких распространенных моделей карт, используя доступное и готовое оборудование.

«Многие организации и потребители полагают, что эти карты по своей сути безопасны», — объяснила доктор Елена Вэнс, ведущий исследователь. «Наши результаты показывают, что ложное чувство безопасности широко распространено. Мы успешно перехватывали связь между картами и считывателями на расстоянии, собирали уникальные идентификаторы и использовали криптографические слабости для создания функциональных дубликатов».

Уязвимости возникают из-за нескольких факторов: продолжающегося использования устаревших протоколов, таких как MIFARE Classic, плохих методов управления ключами со стороны производителей и конечных пользователей, а также физической природы беспроводной связи, которая по своей сути подвержена атакам скимминга и ретрансляции. В исследовании подчеркивается, что, хотя карты с высоким уровнем безопасности (например, использующие современное шифрование AES) существуют, сокращение затрат часто приводит к использованию менее совершенных технологий.

Последствия серьезны. Несанкционированный доступ к зданиям, мошеннические платежи, кража личных данных и отслеживание перемещений людей становятся возможными для злоумышленников. Критическая инфраструктура, корпоративные офисы и замки гостиничных номеров, которые зависят исключительно от этих уязвимых карт, подвергаются особому риску.

В ответ на эти выводы эксперты по кибербезопасности призывают к многоуровневому подходу к безопасности. Рекомендации включают:

• Поэтапный отказ устаревшие RFID-карты в пользу современных, криптостойких альтернатив.

• Реализация двухфакторная аутентификация (например, карта плюс PIN-код или биометрия).

• Обычный аудит безопасности и тестирование на проникновение систем физического доступа.

• Осведомленность пользователей о рисках скимминга карт в общественных местах.

Крупные производители карт подтвердили это сообщение, при этом некоторые из них обязались ускорить вывод из эксплуатации старых технологических линий. Органы по стандартизации также вынуждены требовать более строгих процессов сертификации.

"Безопасность смарт-карт RFID не является статичной функцией; это продолжающаяся гонка вооружений, - заключил доктор Вэнс. - Это исследование - тревожный сигнал. Поскольку мы все глубже интегрируем эти технологии в нашу повседневную жизнь и критически важные системы, мы должны инвестировать в их устойчивость с той же срочностью, что и в наши цифровые сети».

Полный технический отчет будет представлен на предстоящей Международной конференции по криптографическому оборудованию и встраиваемым системам (CHES).