研究員：電子護照安全堪慮

留下回應

分享

    

參加Defcon和黑帽安全會議的研究員指出，普遍用於大樓出入管制、高速公路電子收費系統和電子護照的無線射頻辨識（RFID）標籤非常容易複製，具有嚴重的安全風險。

兩場會議的與會研究員分別示範如何用筆記型電腦，搭配200美元的RFID辨識器和同等價格的智慧卡讀寫器，輕鬆複製RFID標籤。此外，他們認為旅行文件內植的RFID標籤可在一定的距離外辨識美國護照，可能會被恐怖份子用來引爆炸彈。

德國DN-Systems研究員Lukas Grunwald在黑帽大會上示範如何複製他個人護照上的RFID標籤，然後將資料寫入附有RFID晶片的智慧卡上。拷貝的晶片可用來偽造護照。他接受CNET News.com訪問時表示：「我們把晶片設定成護照模式。」

未授權複製的威脅影響到數百萬將於今年10月換發電子護照的美國民眾。當初信誓旦旦地排除外界擔憂，宣稱RFID護照防偽功能較強的官員，如今也面臨質疑。Grunwald說他尚未找出電子護照資料加密與保護機制的破綻，換句話說，雖然可藉由掃瞄複製RFID晶片，卻不能變更其中所含的資訊。Grunwald利用複製的海關檢查站，讀取晶片資料。

Grunwald表示，他花了「兩星期和5,000美元律師費」完成這個計畫，使用RFID辨識器和一些自製軟體。在4日的Defcon會議中，他也測試某些企業的門禁管制卡，同樣複製成功。這代表攻擊者也能利用這種方法進入有保全的大樓。Grunwald說：「RFID的使用可以很安全，但特別是電子護照，其標準是妥協的結果，妥協就做不到安全。正確的作法需要大量研究，而那種研究目前並未完成。」Grunwald正準備創辦一家以RFID安全為主的公司。

放眼全球，RFID標籤幾乎被各國政府視為護照防偽的答案。幾個歐洲國家已趕在美國之前發出電子護照，民間支持者和若干安全專家都曾警告貿然改用電子護照的可能威脅。資料外洩是其中之一，在設計上，RFID標籤可用辨識器讀取。但無線安全公司Flexilis研究員Kevin Mahaffey指出，目前的設計只要護照稍微打開即可被偵測到。他說，雖然這樣無法實際判讀晶片上的資料，「攻擊者只要有能力知道某人帶著護照，就是一項嚴重的安全缺失。」

Mahaffey說，只要辨別RFID晶片的特徵，就有可能確定護照持有者的國籍。他表示：「一個極端的情況是，這可能造成只有美國人在附近時，炸藥才會引爆。」Mahaffey在黑帽大會上播放一段示範影片。

Flexilis建議，護照封面應加上雙重防護和另一個特製的RFID標籤，讓護照在非全開的狀態下無法被判讀。為免資料外洩，Grunwald用一種德國製的鋁片護照夾，據說可防止無線標籤被讀取。

此外，Grunwald表示，由於德國護照的RFID標籤仍有一些問題，政府決定即使RFID標籤失效，該護照仍可使用。德國駭客俱樂部The Chaos Computer Club想出一個有創意的解決方案，Grunwald說：「他們建議，就把護照放進微波爐即可。」（陳智文/譯）