Ettevaatust! Miljonites RFID-kaartides leitud tagaukse haavatavus võimaldab kohest kloonimist
Prantsuse turvateenuste firma Quarkslab hiljutine avastus on saatnud turvaringkondadesse lööklaineid. Teadlased avastasid miljonites kontaktivabades RFID-kaartides kriitilise tagaukse, mis võib ohustada lugematuid kontoreid, hotelle ja muid rajatisi turvarikkumiste eest. Hiina suurima kiibitarnija Shanghai Fudan Microelectronics Groupi toodetud kaarte kasutatakse kogu maailmas, mistõttu on selle haavatavuse tagajärjed kaugeleulatuvad.
Sisukord
Olulise RFID-turvavea paljastamine
Quarkslabi uurija Philippe Teuwen juhtis uurimist, mis tõi selle tagaukse päevavalgele. Tehes turvaeksperimente MIFARE Classic kaardiperekonnaga – ühistranspordis ja hotellinduses laialdaselt kasutatav RFID-tehnoloogia – avastas Teuwen tagaukse, mis võimaldab neid kiipkaarte koheselt kloonida. See haavatavus on eriti murettekitav, kuna selle ärakasutamiseks on vaja vaid mõneminutilist füüsilist lähedust, mistõttu on ründajatel võimalik kloonida kaarte, mida kasutatakse kontorite ja hotellitubade turvaliste uste avamiseks kogu maailmas.
Globaalse ulatusega haavatavus
Philipsi (nüüd NXP Semiconductors) poolt 1994. aastal algselt turule toodud MIFARE Classic perekond on aastate jooksul olnud erinevate rünnakute sihtmärgiks. Kuid viimane ilmutus FM11RF08S variandi kohta, mille Shanghai Fudan Microelectronics tutvustas 2020. aastal, paljastab uue riskitaseme. See variant, mille eesmärk oli hõlmata vastumeetmeid teadaolevate ainult kaardiga rünnakute vastu, on kogu maailmas turuosa võitnud. Nendest ettevaatusabinõudest hoolimata avastas Teuweni uurimus olulise vea.
Kaart FM11RF08S kasutab volitamata juurdepääsu vältimiseks meetodit, mida nimetatakse "staatiliseks krüptitud nonce'iks". Ometi avastas Teuwen, et kui ründajal on juurdepääs vähemalt kolmele sektorile või kolmele kaardile, suudab ta FM11RF08S võtmed murda vaid mõne minutiga. Lisaks selgus edasise uurimise käigus riistvaraline tagauks, mis võimaldab autentida tundmatu võtmega, mida saab seejärel ära kasutada kõigi nende kaartide kasutaja määratud võtmete kahjustamiseks.
Haavatavuse murettekitav levik
Tagaukse probleem ei piirdu FM11RF08S variandiga. Teuweni uurimistöö laienes varasematele kaardipõlvkondadele, sealhulgas mudelitele FM11RF08, FM11RF32 ja FM1208-10. Leiti sama tagaukse haavatavus ja nende variantide ühised salavõtmed. Murettekitavalt leiti, et mõjutatud on isegi mõned vanemad NXP Semiconductorsi ja Infineon Technologiesi kaardid.
"FM11RF08S tagauks võimaldab igal üksusel, kes seda tunneb, ohustada kõiki nende kaartide kasutaja määratud võtmeid, isegi kui need on täielikult hajutatud, lihtsalt mõne minuti jooksul kaardile pääsedes," hoiatas Quarkslab. Ettevõte on kutsunud organisatsioone üles viivitamatult hindama oma infrastruktuuri ja võtma meetmeid riskide maandamiseks.
Mida peate nüüd tegema
Nende RFID-kaartide ülemaailmse leviku tõttu ei pruugi paljud ettevõtted teada, et nende kasutatavad MIFARE Classic kaardid on tegelikult Fudan FM11RF08 või FM11RF08S variandid. Quarkslab on tuvastanud need kaardid hotellides üle Ameerika Ühendriikide, Euroopa ja India, rõhutades selle turvavea ulatuslikku ulatust.
Kui teie organisatsioon kasutab turvalisuse tagamiseks RFID-kaarte, on ülioluline kontrollida, kas see haavatavus mõjutab teie kaarte. Hinnake oma infrastruktuuri, konsulteerige turvaekspertidega ja kaaluge võimalike rikkumiste eest kaitsmiseks turvalisematele alternatiividele üleminekut.
Edasine tee: turvalisuse kaitsmine haavatavas maailmas
See avastus on selge meeldetuletus turvatehnoloogiate regulaarse auditeerimise ja värskendamise tähtsusest. Kuna ründajad muutuvad üha keerukamaks, võivad isegi väljakujunenud süsteemid, nagu RFID, sisaldada varjatud turvaauke, mis võivad kontrollimata jätmise korral põhjustada olulisi turvarikkumisi. Teie varade kaitsmiseks ja turvainfrastruktuuri terviklikkuse säilitamiseks on oluline olla valvas ja ennetav.
Maailmas, kus digitaalne ja füüsiline turvalisus on üha enam läbi põimunud, rõhutab see RFID haavatavus vajadust pideva innovatsiooni ja valvsuse järele meie kõige kriitilisemate süsteemide kaitsmisel.