新攻擊程序可直接從 RFID信用卡上讀寫數(shù)據(jù)
2008-02-25 13:36 51CTO.com
導(dǎo)讀:全球著名的黑客大會(huì)BlackHat本周在美國(guó)首都華盛頓舉行,會(huì)上來自各國(guó)的研究人員公開了很多新穎的攻擊手法,此外,本周值得關(guān)注的新聞集中在隱私保護(hù)、電子郵件安全、惡意軟件三個(gè)領(lǐng)域。
全球著名的黑客大會(huì)BlackHat本周在美國(guó)首都華盛頓舉行,會(huì)上來自各國(guó)的研究人員公開了很多新穎的攻擊手法,此外,本周值得關(guān)注的新聞集中在隱私保護(hù)、電子郵件安全、惡意軟件三個(gè)領(lǐng)域。
周三,在本周于美國(guó)華盛頓舉行的BlackHat DC大會(huì)上,研究人員Adam Laurie發(fā)布了其最新的研究成果——能夠直接在RFID或磁條介質(zhì)的信用卡和其他卡片上讀寫信息的攻擊程序,黑客只需通過這個(gè)程序,結(jié)合最普通的讀卡器,便可直接進(jìn)行相關(guān)攻擊。此外,這名研究人員還發(fā)現(xiàn),相當(dāng)多種類的卡片上所存儲(chǔ)用戶隱私信息并沒有經(jīng)過妥善加密,攻擊者可輕易的從這些卡片上讀出合法用戶的隱私信息,并進(jìn)行卡片復(fù)制或其他類似的非法活動(dòng)。
攻擊者通過特殊的讀卡器并結(jié)合一定的欺騙手段,獲取銀行卡信息以進(jìn)行復(fù)制卡的活動(dòng),是我們可以經(jīng)常在媒體上看到的案例。這次研究人員在BlackHat DC上公開的能夠直接從信息卡上讀寫信息的新攻擊程序,它對(duì)信息安全的最大意義,并不只是為針對(duì)信用卡之類的卡片攻擊者增加了一個(gè)新工具,而是它的公開出現(xiàn),顯示了卡片攻擊技術(shù)門檻的降低?,F(xiàn)在隨便一個(gè)稍微掌握一些攻擊技能的人,都可以通過這個(gè)程序,外加一個(gè)100美元左右的讀卡器,即可輕松完成昔日需要有特殊工具及高超技術(shù)才能完成的信用卡復(fù)制攻擊。
在身份識(shí)別和商業(yè)領(lǐng)域廣泛使用的基于RFID芯片的各種卡片,也因?yàn)檫@次在BlackHat DC公開的新攻擊程序而面臨更嚴(yán)重的威脅,如護(hù)照的持有人存儲(chǔ)RFID卡片上的個(gè)人隱私信息可被輕易的讀取和破解、使用RFID電子標(biāo)識(shí)的銷售商會(huì)發(fā)現(xiàn)自己的商品價(jià)格被非法修改。此外,研究人員Adam Laurie所發(fā)現(xiàn)的目前使用的大部分磁條或RFID卡片存儲(chǔ)信息時(shí)都沒有經(jīng)過妥善加密也是卡片使用中的一個(gè)相當(dāng)大的漏洞。筆者認(rèn)為,在今后的一段時(shí)間內(nèi),針對(duì)磁條或RFID卡片的攻擊會(huì)因?yàn)榧夹g(shù)門檻的降低而快速增加,這個(gè)趨勢(shì)都需要引起相關(guān)的廠商和安全業(yè)界的深入關(guān)注