Nghiên cứu mới phát hiện những lỗ hổng nghiêm trọng trong bảo mật thẻ thông minh RFID

Nghiên cứu đột phá tiết lộ các lỗ hổng trong thẻ thông minh RFID được sử dụng rộng rãi

Một nghiên cứu toàn diện mới của Viện An ninh mạng tại Đại học Technion đã đưa ra những cảnh báo đáng kể về tính bảo mật của thẻ thông minh RFID (Nhận dạng tần số vô tuyến), có mặt khắp nơi trong kiểm soát truy cập, hệ thống thanh toán và giao thông công cộng.

Nghiên cứu có tiêu đề "Sự mất an toàn theo lớp của việc triển khai RFID hiện đại" chứng minh rằng một phần đáng kể thẻ thông minh RFID hiện được triển khai dựa trên các giao thức mã hóa đã lỗi thời hoặc được triển khai yếu. Các nhà nghiên cứu đã có thể sao chép, nghe lén và trong một số trường hợp, hoàn toàn vượt qua tính bảo mật của một số mẫu thẻ thông thường bằng cách sử dụng phần cứng sẵn có, giá cả phải chăng.

Tiến sĩ Elena Vance, nhà nghiên cứu chính giải thích: “Nhiều tổ chức và người tiêu dùng cho rằng những thẻ này vốn đã an toàn”. "Phát hiện của chúng tôi cho thấy cảm giác an toàn sai lầm đang lan tràn. Chúng tôi đã chặn thành công giao tiếp giữa thẻ và đầu đọc từ xa, thu thập số nhận dạng duy nhất và khai thác các điểm yếu về mật mã để tạo ra các bản sao chức năng."

Các lỗ hổng xuất phát từ một số yếu tố: việc tiếp tục sử dụng các giao thức cũ như MIFARE Classic, cách quản lý khóa kém của nhà sản xuất và người dùng cuối cũng như bản chất vật lý của giao tiếp không dây, vốn dễ bị tấn công lướt qua và chuyển tiếp. Nghiên cứu nhấn mạnh rằng mặc dù thẻ bảo mật cao (ví dụ: thẻ sử dụng mã hóa AES hiện đại) tồn tại, việc cắt giảm chi phí thường dẫn đến việc triển khai công nghệ kém hơn.

Những tác động rất nghiêm trọng. Việc truy cập vào tòa nhà trái phép, thanh toán gian lận, đánh cắp danh tính và theo dõi các hoạt động di chuyển của các cá nhân trở nên khả thi đối với các tác nhân độc hại. Cơ sở hạ tầng quan trọng, văn phòng công ty và khóa phòng khách sạn chỉ phụ thuộc vào những thẻ dễ bị tấn công này sẽ đặc biệt gặp rủi ro.

Để đáp lại những phát hiện này, các chuyên gia an ninh mạng đang thúc giục một cách tiếp cận bảo mật nhiều lớp. Các khuyến nghị bao gồm:

• Giảm dần thẻ RFID truyền thống ủng hộ các lựa chọn thay thế hiện đại, mạnh mẽ về mặt mật mã.

• Thực hiện xác thực hai yếu tố (ví dụ: thẻ cộng với mã PIN hoặc sinh trắc học).

• thường xuyên kiểm tra an ninh và thử nghiệm thâm nhập các hệ thống truy cập vật lý.

• Nhận thức của người dùng về những rủi ro của việc đọc lướt thẻ ở nơi công cộng.

Các nhà sản xuất thẻ lớn đã thừa nhận báo cáo này, đồng thời cam kết đẩy nhanh việc loại bỏ các dây chuyền công nghệ cũ. Các cơ quan tiêu chuẩn cũng chịu áp lực yêu cầu các quy trình chứng nhận chặt chẽ hơn.

Tiến sĩ Vance kết luận: "Tính bảo mật của thẻ thông minh RFID không phải là một tính năng tĩnh; đó là một cuộc chạy đua vũ trang đang diễn ra". "Nghiên cứu này là một lời cảnh tỉnh. Khi chúng ta tích hợp những công nghệ này sâu hơn bao giờ hết vào cuộc sống hàng ngày và các hệ thống quan trọng, chúng ta phải đầu tư vào khả năng phục hồi của chúng với mức độ khẩn cấp giống như chúng ta làm đối với mạng kỹ thuật số của mình.”

Báo cáo kỹ thuật đầy đủ sẽ được trình bày tại Hội nghị quốc tế sắp tới về phần cứng mật mã và hệ thống nhúng (CHES).