نئی تحقیق آریفآئڈی سمارٹ کارڈ سیکیورٹی میں اہم خامیوں کو بے نقاب کرتی ہے

گراؤنڈ بریکنگ اسٹڈی وسیع پیمانے پر استعمال ہونے والے آریفآئڈی سمارٹ کارڈز میں خطرات کو ظاہر کرتی ہے

ٹیکنین یونیورسٹی کے انسٹی ٹیوٹ آف سائبرسیکیوریٹی کے ایک نئے جامع مطالعے نے آریفآئڈی (ریڈیو فریکوئینسی شناخت) سمارٹ کارڈز کی سلامتی کے حوالے سے اہم الارم اٹھائے ہیں ، جو رسائی کنٹرول ، ادائیگی کے نظام اور عوامی نقل و حمل میں ہر جگہ ہے۔

"جدید آریفآئڈی عمل درآمد کی پرتوں والی عدم تحفظ" کے عنوان سے اس تحقیق سے یہ ظاہر ہوتا ہے کہ فی الحال تعینات آریفآئڈی سمارٹ کارڈز کا ایک کافی حصہ فرسودہ یا کمزور طور پر نافذ شدہ خفیہ کاری پروٹوکول پر انحصار کرتا ہے۔ محققین سستی ، آف شیلف ہارڈ ویئر کا استعمال کرتے ہوئے کئی عام کارڈ ماڈلز کی سلامتی کو مکمل طور پر نظرانداز کرنے کے قابل تھے۔

"بہت ساری تنظیمیں اور صارفین فرض کرتے ہیں کہ یہ کارڈ فطری طور پر محفوظ ہیں ،" ڈاکٹر ایلینا وینس ، لیڈ محقق نے وضاحت کی۔ "ہمارے نتائج سے پتہ چلتا ہے کہ سلامتی کا غلط احساس پھیلانا ہے۔ ہم نے کارڈز اور قارئین کے مابین فاصلے سے کامیابی کے ساتھ رابطے کو روک لیا ، منفرد شناخت کنندگان کی کٹائی کی ، اور عملی نقلیں پیدا کرنے کے لئے کریپٹوگرافک کمزوریوں کا استحصال کیا۔"

خطرات متعدد عوامل سے پیدا ہوتے ہیں: میفیر کلاسیکی ، مینوفیکچررز اور اختتامی استعمال کنندگان کے ذریعہ اہم اہم انتظامیہ ، اور وائرلیس مواصلات کی جسمانی نوعیت جیسے میراثی پروٹوکول کا مستقل استعمال ، جو فطری طور پر اسکیمنگ اور ریلے حملوں کا شکار ہے۔ اس مطالعے میں روشنی ڈالی گئی ہے کہ جبکہ اعلی سیکیورٹی کارڈز (جیسے ، جدید AES خفیہ کاری استعمال کرنے والے) موجود ہیں ، لاگت کاٹنے سے اکثر کمتر ٹکنالوجی کی تعیناتی ہوتی ہے۔

مضمرات شدید ہیں۔ غیر مجاز عمارتوں تک رسائی ، جعلی ادائیگیوں ، شناخت کی چوری ، اور افراد کی "نقل و حرکت" بدنیتی پر مبنی اداکاروں کے لئے قابل عمل ہوجاتی ہے۔ تنقیدی انفراسٹرکچر ، کارپوریٹ دفاتر ، اور ہوٹل کے کمرے کے تالے جو مکمل طور پر ان کمزور کارڈوں پر انحصار کرتے ہیں خاص طور پر خطرے میں ہیں۔

ان نتائج کے جواب میں ، سائبرسیکیوریٹی ماہرین ایک کثیر پرتوں والے حفاظتی نقطہ نظر پر زور دے رہے ہیں۔ سفارشات میں شامل ہیں:

• باہر نکلنا جدید ، خفیہ نگاری سے مضبوط متبادل کے حق میں میراثی آریفآئڈ کارڈ۔

• عمل درآمد دو عنصر کی توثیق (جیسے ، کارڈ پلس پن یا بایومیٹرکس)۔

• باقاعدہ سیکیورٹی آڈٹ اور جسمانی رسائی کے نظام کی دخول کی جانچ۔

• صارف کی آگاہی عوامی مقامات پر کارڈ کے دھندلاہٹ کے خطرات کے بارے میں۔

بڑے کارڈ مینوفیکچررز نے اس رپورٹ کو تسلیم کیا ہے ، جس میں پرانی ٹکنالوجی لائنوں کی ریٹائرمنٹ کو تیز کرنے کے لئے متعدد عہد کیا گیا ہے۔ معیاری اداروں پر بھی سخت سرٹیفیکیشن کے عمل کو مینڈیٹ کرنے کا دباؤ ہے۔

ڈاکٹر وینس نے یہ نتیجہ اخذ کیا ، "آریفآئڈی سمارٹ کارڈ کی سلامتی کوئی مستحکم خصوصیت نہیں ہے۔ یہ ہتھیاروں کی ایک جاری دوڑ ہے۔" جب ہم ان ٹکنالوجیوں کو اپنی روز مرہ کی زندگی اور تنقیدی نظاموں میں مزید گہرا کرتے ہیں تو ہمیں ان کی لچک میں بھی اسی طرح کی فوری ضرورت کے ساتھ سرمایہ کاری کرنی ہوگی جیسا کہ ہم اپنے ڈیجیٹل نیٹ ورکس کے لئے کرتے ہیں۔ "

مکمل تکنیکی رپورٹ کریپٹوگرافک ہارڈ ویئر اور ایمبیڈڈ سسٹم (CHES) سے متعلق آئندہ بین الاقوامی کانفرنس میں پیش کی جائے گی۔