当前位置:首页 > 长乐 > 正文

RFID风险——物联网的安全黑洞

2019/7/7 8:14:19 来源:长乐晚报
当下,RFID技术在社会生活中已得到了广泛的应用,例如看演唱会时用的RFID门票,小区车库用的RFID汽车门禁,每天坐车用的公交一卡通,都使用到了RFID识别技术。与此同时,RFID技术也给人们带来了众多安全风险,但作为消费者的我们却很少被商家提醒。这也是传统上安全问题的最大来源——商家对于一项技术可用性的兴趣,要远远大于对其风险的关注。

2011年9月,北京公交一卡通被黑客破解,从而敲响了整个RFID行业的警钟。黑客通过破解公交一卡通,给自己的一卡通非法充值,获取非法利益2200元,在相关单位报警后受到了法律的严惩。尽管此事件已经过去,但RFID技术的安全风险却由此被曝露出来,并受到了整个社会的密切关注。人们不禁要问,RFID卡到底安全不安全?如果不安全,普通用户应该怎么防范这种风险?

RFID(Radio Frequency Identification,射频识别)通称为电子标签,是一种新兴的通讯技术,它通过无线电讯号识别特定目标并读写相关数据。比如我们常用的公交一卡通,其中就嵌入了一个小米粒那么大的RFID芯片,里面包含了一串数字ID,这串ID包含了使用者身份、卡内金额等信息,当这个芯片处于读卡器的电磁场中时,芯片中的信息就会被辨别出来,进行相应的扣款、充值等多种操作。

\

但是,由于RFID芯片所具有存储空间小、可用密码有限、没有自带能源系统等特点,从而使其在安全上具有先天的弱点。在数据读取、扫描与数据库的链接上,RFID相关环节采用的是基础的互联网模式,同样由数据库、客户端及服务器组成,同样面临着黑客攻击、身份伪造、病毒蠕虫攻击等安全问题。无论黑客对其中任意哪个环节进行攻击,均会对商家及消费者带来巨大影响。

RFID技术面临的安全风险

在2006年意大利举行的一次学术会议上,就有研究者提出病毒可能感染RFID芯片,通过伪造沃尔玛、家乐福这样的超级市场里的RFID电子标签,将正常的电子标签替换成恶意标签,即可进入他们的数据库及IT系统中发动攻击。尽管绝大部分安全专家认为,由于RFID提供的存储空间太小,其前端的运算能力也许并不足以发动一次病毒攻击,但随着新一代RFID芯片的出现,运算能力的提高,存储空间的扩大,这种理论上的攻击可能实际发生。

在病毒攻击之外,针对RFID芯片内部数据的伪造还带来了另外的安全风险。现在很多RFID芯片属于可多次读写的设备,芯片中存储的数据可被黑客轻易读取、篡改,用于改造的设备也可以被普通人购买和制造,从而带来大量安全隐患。

现在,很多RFID芯片还带有银行卡性质,被应用在商场和超市的购物卡、大学校园的饭卡、电影院的计次卡等多种环境中,一旦被大量伪造,则会带来更大的风险。以商场购物卡为例,如果有人在网上公布了相应的漏洞及利用方法,很可能造成大量人群去给自己的购物卡“充值”,而现有依靠的防范手段,很难应对这样的情况出现。

\

2007年黑客大会,一个与会者在展示RFID设备

RFID技术带来的隐私泄露风险

除了RFID芯片伪造和病毒这两种风险之外,RFID技术在多个领域的应用也给用户带来了不可预知的安全后果,如果相关厂商未充分考虑到用户隐私和便利性之间的平衡,很容易造成“越方便、越不安全”的后果。

以RFID技术在物流领域的应用为例,现在很多大厂商都通过在货物中植入RFID芯片来追踪其物流走向,随时得到其具体的地理位置。例如,在汽车和轮胎中植入芯片,厂商就可以对汽车的销售情况进行监控,以往经销商虚报销量、明明已经卖掉的汽车还汇报为库存的伎俩就会失效。

 

但是,这种追踪技术通常要求在用户知情的情况下才能使用,如果用户不知情,则其每天的行踪,看了演唱会还是去跟情人约会,就会被无关人士知晓,造成用户隐私的泄漏。

再比如,某些RFID芯片带有消费功能,一张卡片又能打街头的插卡式公用电话,又能用于超市支付,这些消费记录在记入商家的数据库后,相关公司的人员都将拥有查看权限。想想看,如果你每天晚上给某个号码打半个小时电话,同时又用这张卡在超市里买了安全套,而这种消费行为会被很多有心人关注到,这其中的风险就不问而知了。

如果说这种级别的隐私泄漏还不足以让人提高警惕的话,未来RFID技术与智能手机的结合将是“隐私泄漏的杀手锏”。同样一张手机卡,加入了RFID功能之后,就可以在超市里刷卡消费,由于现在的手机号码一般都是实名购买,别人很容易就能够将RFID卡号、消费记录和真实的人物身份结合起来,以现在都市人的手机丢失概率,小偷在盗窃到手机之后很容易就能获取更多有价值的信息,进而通过诈骗、敲诈等手段来获取更多经济利益。

更为可怕的是,现有智能手机通常具有GPS定位功能,不少喜欢玩手机的人都会用LBS签到等软件,这就再次加大了个人隐私泄漏的风险。

如何防范RFID安全问题?

对于普通用户来说,了解一些RFID安全知识,对于加强自己的防护能力是非常有益的。例如在网上曾经流传过一个谣言,说某人的亲戚有个发财秘诀:去申请一条公交线路,然后把读卡器拆下来放在背包里,故意去挤地铁,用读卡器去刷人家背包里的卡,每天入手万元。这个谣言乍一看很有道理,但其实不可能做到。

一般进地铁的人都已经刷了“进站”的那一次卡,此时如果被这个机器刷走一次的话,那么在服务器上就表现为这个人没刷地铁“出站”记录时就在“大牛亲戚”的读卡器上再次刷卡。如果这种情况少的话,还能解释为用户忘记刷地铁的出口卡,或者地铁出口的卡失灵。但如果一个公交卡的读卡器每天百分百刷的都是这样的卡(一卡通公司有全部的消费记录),警察不找上门才怪!

普通用户需要做的是:

1. 尽可能地了解自己在哪些方面使用到了RFID芯片,商家应对使用RFID技术的商品和服务进行公示。现有的RFID极小,普通芯片就可以做到0.5毫米见方的小立方体,很容易嵌入到许多产品之中,例如厚纸、包装盒、轮胎、数码产品等。使用RFID技术的产品在进入用户使用环节时,如非必要,应做失效处理,避免别人继续对用户进行辨别和追踪。

2. 对重要的RFID芯片,在使用中应使用更好的防护措施,例如护照、身份证、准考证等,其RFID芯片有效检测距离在10m左右,如果采用专业设备,其有效距离会更长。在2010年的黑帽大会上,一个研究者证明在200英尺的距离上,恐怖分子可以利用普通设备读取美国护照的信息,包括姓名、国籍、年龄等敏感数据。如果采用军队使用的专业设备,这个距离可以扩大到80英里。

3. 如果一个RFID芯片带有更多的经济利益,那就应该采用更高等级的加密措施及介质。从某种角度讲,所谓的安全问题就是“花多少钱防范多少风险”的利益权衡。例如购物卡、公交卡等芯片,其在设计之初就没有考虑极限环境下的安全防护,因此使得黑客破解的难度相对较低,普通用户不应该在其中储存大量金钱。

4. 如果非必要,不要在手机、平板电脑等设备上开启RFID功能,尤其是对那些能够通过网络支付、网络查询等方式运行的支付软件和服务,否则一旦被黑客攻击,其产生的影响也将超过以往。

 


相关阅读:
发电机组销售 http://www.lcdlfj.com