Sähköinen passi soveltuu sabotointiin

Julkaistu: , Päivitetty:

Saksalainen tietoturvatutkija esitteli viime vuonna sähköisten passien kloonausta. Tänä vuonna hän sabotoi passinlukijoita muokatulla passilla ja väärentää sormenjälkiä.
Viime vuonna saksalainen Lukas Grunwald esitteli Las Vegasin Defcon-tapahtumassa, kuinka sähköisestä passista voi tehdä kopioita. Ensi viikonloppuna Grunwald aikoo esitellä, kuinka sähköisellä passilla voi kaataa passinlukijoita.

Grunwald hyödyntää passinlukijoiden sabotoinnissa passin sisältämää jpeg2000-muodossa olevaa passikuvaa. Muokkaamalla tietyillä tavoilla kuvatiedostoa, passinlukijat kaatuvat. Grunwald on testannut haavoittuvuutta kahdella eri valmistajan passinlukijalla.

Rfid-guru on sitä mieltä, että haavoittuvuuden avulla passinlukijat voitaisiin käskyttää hyväksymään vanhentunut tai väärennetty sähköinen passi. Myös Windows-pohjainen tietokone, johon passinlukija on kytketty, voi olla haavoittuvainen passihyökkäykselle.

Grunwald ei Wiredin mukaan nimeä lukijalaitteiden valmistajia, mutta haavoittuvaisia lukijoita on miehen mukaan käytössä joillakin lentokentillä. Tietoturvatutkija ei myöskään usko, että muiden valmistajien lukijat olisivat yhtään sen turvallisempia.

Saksalaistutkija on myös löytänyt toisen haavoittuvuuden, jonka avulla sähköisestä passista voidaan kopioida passin omistajan sormenjäljet. Sähköisessä passissa sormenjäljet ovat tallennettu normaalina kuvatiedostona, jota on hyvin helppo käsitellä eri käyttötarkoituksiin.


Kommentit

    Näytä lisää