En gruppe forskere fra både næringsliv og akademiske institusjoner, kjent som RFID CUSP (for «ConsortiUm for Security and Privacy»), har utgitt en 17 siders rapport om sårbarheter i den første generasjonen kredittkort utstyrt med RFID: Vulnerabilities in First-Generation RFID-enabled Credit Cards.
Forskerne kommer fra University of Massachusetts Amherst, Johns Hopkins University, og EMC-avdelingen RSA Labs.
Kredittkort med RFID er utstedt til rundt 20 millioner amerikanere. I forhold til kredittkort med bare magnetstripe eller prosessor og minne (smartkort), kan de leses av på korte avstander, uten fysisk kontakt med en leser. Denne egenskapen gjør det påkrevet med ekstra sikkerhetsfunksjoner for å verne om informasjonen i kortet, både under lagring, og under overføring.
Forskerrapporten konkluderer at disse sikkerhetsfunksjonene er høyst mangelfulle. RFID-kortene lider av to grunnleggende sårbarheter:
1. Alle kortene kringkaster navnet på innehaveren, uten noen form for beskyttelse. Enhver leser innen rekkevidde kan registrere alle navn fra alle RFID-kredittkort.
2. RFID-kredittkortene er i varierende grad sårbare for «skimming», det vil si at man kan høste tilstrekkelig med informasjon til å klone kortet, og bruke klonen til å belaste kontoen til kortets innehaver med betalinger, både direkte i vanlige butikker, og i e-handel. Å skimme et RFID-kredittkort krever minimalt med teknisk ekspertise, og utstyr til rundt 150 dollar.
Skimming av vanlige bankkort er et kjent fenomen, også i Norge. Det krever at kjeltringer installerer en ekstra leser på minibanken, og bruker en eller annen trådløs teknologi for å overføre informasjon fra leseren til et annet apparat, for eksempel PC, PDA eller mobiltelefon.
Med RFID-kredittkort, slipper kjeltringene risikoen og belastningen med å installere en leser på en minibank. De kan nøye seg med å stå i en tettpakket T-banevogn eller togperrong, late som de stapper brosjyrer i postkasser for å tappe informasjon fra kredittkort sendt i posten, bevege seg i populære forretningsområder og så videre. I beste fall får de vite hva du heter. I verste fall får de hele identiteten din.
Forskerne tar forbehold om at dette dreier seg om første generasjons kredittkort med RFID, og ser fram til at sikkerheten skjerpes over tid. De sier seg samtidig «noe overrasket» over at kredittkortselskapene ikke har valgt mer effektive sikkerhetsteknologier. De peker på flere enkle måter å skjerpe brukersikkerheten på, blant annet at alle e-handelstransaksjoner krever at brukeren CVC-tallet («card validation code») på kortet. CVC-tallet lagres ikke elektronisk, men er bare skrevet på kortet, slik at det ikke kan fanges opp av en RFID-leser.
Et vanskelig punkt er rekkevidde, altså avstand mellom kort og leser. Det har vist seg i praksis at man i noen tilfeller ikke behøver å nærme seg mer enn 50 centimeter for å lese et RFID-kort. Med spesialisert utstyr har det vært påstått at en transaksjon mellom et RFID-kort og en leser kan fanges opp fra opptil ti meter. Forskerne referer dette, uten å ta stilling til det.
På den andre siden, viser de i rapporten hvordan to tyver kan samarbeide om å fange opp en kundes RFID-kredittkort og utføre egne kjøp med dette kredittkortet.
Framgangsmåten, som forskerne har prøvd ut i praksis, er slik: Tyvene har hver sin RFID-kredittkortemulator. Den ene står ved kassa og kommuniserer med kassas RFID-leser, den andre står ved kunden og leser kundens kredittkort. Mellom emulatorene har tyvene etablert en egen trådløs forbindelse. Denne forbindelsen sørger for å formidle transaksjonen mellom kassa og kundens kredittkort.
Rapporten peker på at avlesing av RFID-kredittkort fra postkasser, altså før innehaveren får tak i kortet, kan føre til at tyven kan bli først ute med å aktivere kortet, mens den legitime brukeren opplever at kortet er ubrukelig. Dette kan lett avverges ved å sørge for at konvolutten rundt kortet isoleres mot radiobølger, for eksempel ved hjelp av ståltråder. Et annet anbefalt vernetiltak er alltid å bære kortet i et etui som hindrer radiobølger fra å passere.
Forskerne foreslår også at kredittkortselskapene endrer kortene slik at de må aktiveres når de skal brukes. Det kan gjøres ved en slags trykknapp, eller ved sensorer som reagerer på lys, varme eller bevegelse.
Les også:
- [15.01.2007] Lager RFID-«brikker» i usynlig blekk
- [16.10.2006] RFID kan overvåke flypassasjerer
- [07.08.2006] Viste hvor enkelt det er å klone RFID-pass
- [02.05.2006] Bruk RFID til finne igjen nøkler og barn
- [15.03.2006] Slik kan RFID spre datavirus
- [13.03.2006] Kina starter verdens største RFID-prosjekt
- [30.01.2006] Næringslivet satser sammen på RFID
