Нове дослідження виявило критичні недоліки в безпеці смарт-карт RFID

Революційне дослідження виявило вразливі місця в широко використовуваних смарт-картках RFID

Нове всебічне дослідження Інституту кібербезпеки Університету Техніон викликало серйозні занепокоєння щодо безпеки смарт-карт RFID (радіочастотної ідентифікації), повсюдних у системах контролю доступу, платіжних системах і громадському транспорті.

Дослідження під назвою «Рівнева незахищеність сучасних реалізацій RFID» демонструє, що значна частина смарт-карток RFID, які зараз розгорнуті, покладаються на застарілі або слабко реалізовані протоколи шифрування. Дослідники змогли клонувати, підслуховувати, а в деяких випадках і повністю обійти безпеку кількох поширених моделей карт, використовуючи доступне стандартне обладнання.

«Багато організацій і споживачів вважають, що ці картки за своєю суттю безпечні», — пояснила доктор Олена Венс, провідний дослідник. «Наші результати показують, що помилкове відчуття безпеки є повсюдним. Ми успішно перехоплювали зв’язок між картками та зчитувачами на відстані, збирали унікальні ідентифікатори та використовували криптографічні недоліки для створення функціональних дублікатів».

Уразливості виникають через кілька факторів: постійне використання застарілих протоколів, таких як MIFARE Classic, погані методи керування ключами виробниками та кінцевими користувачами, а також фізична природа бездротового зв’язку, яка за своєю суттю є чутливою до атак skimming і relay. Дослідження підкреслює, що, незважаючи на те, що існують карти з високим рівнем безпеки (наприклад, ті, що використовують сучасне шифрування AES), скорочення витрат часто призводить до розгортання неякісних технологій.

Наслідки серйозні. Несанкціонований доступ до будівлі, шахрайські платежі, викрадення особистих даних і відстеження переміщень осіб стають можливими для зловмисників. Критична інфраструктура, корпоративні офіси та замки готельних номерів, які залежать виключно від цих уразливих карток, піддаються особливому ризику.

У відповідь на ці висновки експерти з кібербезпеки закликають використовувати багаторівневий підхід до безпеки. Рекомендації включають:

• Поступове припинення застарілі карти RFID на користь сучасних криптографічно надійних альтернатив.

• Реалізація двофакторна аутентифікація (наприклад, картка плюс PIN-код або біометрія).

• Регулярний аудит безпеки і тестування на проникнення систем фізичного доступу.

• Обізнаність користувачів про ризики скімінгу карток у громадських місцях.

Основні виробники карток визнали цей звіт, а деякі з них взяли на себе зобов’язання прискорити виведення старих технологічних ліній. Органи зі стандартизації також перебувають під тиском, щоб ввести суворіші процеси сертифікації.

«Безпека смарт-картки RFID — це не статична функція; це гонка озброєнь, що триває, — підсумував д-р Венс. — Це дослідження є тривожним дзвіночком. Оскільки ми все глибше інтегруємо ці технології в наше повсякденне життя та критично важливі системи, ми повинні інвестувати в їх стійкість з такою ж терміновістю, як і в наші цифрові мережі».

Повний технічний звіт буде представлено на майбутній Міжнародній конференції з криптографічного обладнання та вбудованих систем (CHES).