Rfid-matkakortit murtuvat taas
0
Rfid-korttien käyttö julkisen liikenteen matkakortteina lisääntyy, ja yhtä jalkaa tuntuvat lisääntyvän tutkijoiden raportit järjestelmien heikkouksista. Kesällä kiellettiin oikeuden päätöksellä Bostonin liikennelaitoksen kortit murtaneita opiskelijoita paljastamasta menetelmäänsä. Nyt Lontoon vastaavan kortin murtaneet ovat kertoneet tietonsa julki.
Bostonin matkakortin kimpussa olleet opiskelijat olivat lukeneet kortin tiedot omalla lukulaitteellaan ja sen jälkeen kloonanneet kortteja.
Lontoon julkisessa liikenteessä käytetään Oyster-kortteja, joiden ytimenä on laajalti käytetty Mifare Classic -rfid-siru. Se mureni professoritason tutkijoiden käsissä, kertoo BBC. Nämä julkistivat menetelmänsä Espanjan Malagassa järjestetyssä tietoturvakonferenssissa.
Vaientamista yritettiin taas
Tälläkin kertaa tietojen julkistaminen yritettiin estää. Nyt asialla oli siruvalmistaja, Bostonin tapauksessa kieltoa ajoi liikennelaitos. Espanjassa tuloksena oli vain esityksen viivästäminen yhdellä päivällä.
Sirulle tallennettujen tietojen suojana on avaimena toimiva lukusarja. Luvun on tarkoitus pysyä salaisena. Tutkijat kuitenkin havaitsivat, että kortin suunnitteluvirheen vuoksi luvun voi helposti onkia selville, ja tämän jälkeen on mahdollista kloonata itse omia matkakortteja. Klooneja testattiin Lontoon maanalaisessa menestyksellisesti, vaikka liikennelaitoksen edustajan mukaan väärennettyjen korttien käyttö näkyikin lipputarkastuksen taustajärjestelmissä.
Liikennelaitos ja Mifare-sirut valmistava NXP Semiconductors yrittävät parhaansa mukaan tukkia aukkoa. Sirun ja sen suojauksen heikkoudet eivät matkakorteissa ole kohtalokkaita, mutta samoja siruja käyttävien kulkulupien väärentäminen voi johtaa vaarallisiin tilanteisiin.
