Yeni Araştırma RFID Akıllı Kart Güvenliğindeki Kritik Kusurları Ortaya Çıkarıyor

Çığır Açan Çalışma, Yaygın Olarak Kullanılan RFID Akıllı Kartlardaki Güvenlik Açıklarını Ortaya Çıkarıyor

Technion Üniversitesi Siber Güvenlik Enstitüsü'nün yeni ve kapsamlı bir çalışması, erişim kontrolünde, ödeme sistemlerinde ve toplu taşımada her yerde bulunan RFID (Radyo Frekansı Tanımlama) akıllı kartlarının güvenliğiyle ilgili önemli alarmları ortaya çıkardı.

"Modern RFID Uygulamalarının Katmanlı Güvensizliği" başlıklı araştırma, halihazırda kullanılan RFID akıllı kartların önemli bir kısmının eski veya zayıf şekilde uygulanan şifreleme protokollerine dayandığını gösteriyor. Araştırmacılar uygun fiyatlı, kullanıma hazır donanımlar kullanarak birçok yaygın kart modelinin güvenliğini klonlamayı, gizlice dinlemeyi ve bazı durumlarda tamamen aşmayı başardılar.

Baş araştırmacı Dr. Elena Vance, "Birçok kuruluş ve tüketici bu kartların doğası gereği güvenli olduğunu varsayıyor" dedi. "Bulgularımız, yanlış bir güvenlik duygusunun yaygın olduğunu gösteriyor. Kartlar ve okuyucular arasındaki iletişimi uzaktan başarıyla yakaladık, benzersiz tanımlayıcılar topladık ve işlevsel kopyalar oluşturmak için kriptografik zayıflıklardan yararlandık."

Güvenlik açıkları çeşitli faktörlerden kaynaklanmaktadır: MIFARE Classic gibi eski protokollerin sürekli kullanımı, üreticiler ve son kullanıcılar tarafından yapılan zayıf anahtar yönetimi uygulamaları ve doğası gereği kayma ve aktarma saldırılarına karşı hassas olan kablosuz iletişimin fiziksel yapısı. Çalışma, yüksek güvenlikli kartlar (örneğin, modern AES şifrelemesi kullananlar) mevcut olmasına rağmen, maliyet düşürmenin genellikle daha düşük teknolojilerin kullanılmasına yol açtığını vurguluyor.

Etkileri ciddidir. Yetkisiz bina erişimi, hileli ödemeler, kimlik hırsızlığı ve bireylerin hareketlerinin takip edilmesi, kötü niyetli aktörler için mümkün hale geliyor. Yalnızca bu savunmasız kartlara bağlı olan kritik altyapı, şirket ofisleri ve otel odası kilitleri özellikle risk altındadır.

Bulgulara yanıt olarak siber güvenlik uzmanları çok katmanlı bir güvenlik yaklaşımı öneriyor. Öneriler şunları içerir:

• Aşamalı olarak kullanımdan kaldırılıyor eski RFID kartlarını modern, kriptografik olarak güçlü alternatiflere tercih ediyoruz.

• Uygulama iki faktörlü kimlik doğrulama (ör. kart artı PIN veya biyometri).

• Düzenli güvenlik denetimleri ve fiziksel erişim sistemlerine sızma testi.

• Kullanıcı farkındalığı kamusal alanlarda kart kopyalamanın riskleri hakkında.

Büyük kart üreticileri raporu kabul etti ve birçoğu eski teknoloji hatlarının kullanımdan kaldırılmasını hızlandırma taahhüdünde bulundu. Standart kuruluşları da daha katı sertifikasyon süreçleri zorunlu kılma baskısı altındadır.

Vance sözlerini şöyle tamamladı: "RFID akıllı kartının güvenliği statik bir özellik değildir; bu devam eden bir silahlanma yarışıdır." "Bu araştırma bir uyandırma çağrısıdır. Bu teknolojileri günlük hayatlarımıza ve kritik sistemlerimize daha da derinlemesine entegre ederken, dijital ağlarımıza yaptığımız kadar acil bir şekilde onların dayanıklılığına da yatırım yapmalıyız."

Teknik raporun tamamı yaklaşan Uluslararası Kriptografik Donanım ve Gömülü Sistemler Konferansında (CHES) sunulacak.