Исследователи обнаружили уязвимость в электронных паспортах

Исследователи обнаружили уязвимость в электронных паспортах

Исследователи из Университета Бирмингема обнаружили очередную уязвимость в электронных паспортах. Недостатки существующей технологии позволяют сконструировать устройство, которое будет сигнализировать о появлении вблизи его владельца того или иного е-паспорта.

Предлагаемая схема эксплуатации данной уязвимости кажется несколько надуманной, однако в некоторых случаях может оказаться действенной.

Для начала злоумышленникам придётся подслушать "разговор" между электронным паспортом жертвы и авторизованным RFID-сканером (например, при пересечении объектом границы). Обмен данными шифруется, однако здесь речь идет не о расшифровке, а всего лишь о перехвате сообщения, в котором сканер передает паспорту ключ конкретной сессии.

Данное сообщение тоже кодируется, но оно, как и всякое последующее сообщение между сканером и паспортом, подписано уникальным для паспорта аутентификационным MAC-кодом (который паспорт предварительно сообщает сканеру).

По словам исследователей, изучение паспортов показало, что существует отличие между сообщением, которое было отклонено из-за некорректного ключа сессии, и сообщением, которое было отклонено из-за ошибки при проверке аутентификационного кода.

Для большинства электронных паспортов это отличие заключается во времени, после которого паспорт возвращает ошибку (потому что в одном из случаев ему приходится тратить время на расшифровку сообщения). Длительность этого интервала зависит преимущественно от того, какая страна выдала паспорт. Сообщается, что для французских паспортов не нужно и этого, так как в описанных случаях они просто возвращают два разных кода ошибок.

Поэтому можно создать собственный псевдо-сканер, который будет периодически транслировать в эфир перехваченное сообщение. Если этот сканер разместить в подъезде, где проживает владелец паспорта, то с его помощью можно будет в режиме реального времени определять, когда он покидает дом или возвращается обратно. Естественно если человек будет носить паспорт с собой.

Исследователи проверили свою теорию на практике, взяв у добровольцев (сотрудников лаборатории и членов их семей) их электронные паспорта. Всего было 3 британских паспорта, 2 немецких и по одному российскому, французскому, ирландскому и греческому. Для реализации описанной схемы исследователи использовали доступное в продаже и дешевое оборудование.

Чтобы защититься от данного способа атаки, как утверждают ученые, необходимо усовершенствовать существующие протоколы, использующиеся электронными паспортами. С уже выпущенными е-паспортами ничего сделать нельзя.

webplanet.ru

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На реализацию Экономики данных выделят 62 млрд рублей допдоходов

Согласно правительственному законопроекту, внесённому в Госдуму, федеральный бюджет на 2025 год может быть дополнен новыми основаниями для перераспределения ассигнований в сфере связи и информатизации на сумму до 62 млрд рублей.

Правительство представило законопроект № 914318-8, содержащий поправки к статье 21 федерального бюджета.

Дополнительное финансирование предполагается за счёт поступлений от штрафов за нарушения правил дорожного движения (до 46 млрд рублей), законодательства о рекламе, а также увеличенных отчислений операторов связи (8,4 млрд рублей) и платежей за интернет-рекламу (6 млрд рублей).

Кроме того, как сообщает «Интерфакс», до 137 млн рублей может поступить от штрафов за правонарушения в сфере связи и ИТ. Ещё до 1,6 млрд рублей предусмотрено выделить по решению правительства без указания конкретного источника.

Выделенные средства планируется направить на реализацию мероприятий нацпроекта «Экономика данных и цифровая трансформация государства», а также программы «Информационное общество». Решения о распределении средств будет принимать федеральное правительство.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru