Hakkerit ajelivat Lontoon metrolla ilmaiseksi

Julkaistu: , Päivitetty:

Hollantilaiset tietoturvatutkijat kloonasivat älykortteja ajaakseen Lontoon metroilla ilmaiseksi päivän verran. Tempaus suoritettiin rfid-älykorteissa käytetyn Mifare-sirun turvattomuuden testaamiseksi.
Sanomalehti Timesin verkkosivujen mukaan hollantilaisen Radboudin yliopiston tutkija Bart Jacobs käytti tempauksen toteuttamiseen tavallista kannettavaa ryhmänsä kanssa.

Ennen Lontoon metrossa suorittamaansa testiä, he kokeilivat tekniikkaa menestyksellisesti Hollannissa sijaitsevan rakennuksen rfid (radio frequency identification) -tekniikalla toimivan kulkulupakortin kloonaamiseen.

Tutkijat skannasivat metroajelua varten ensin metron korttilukijan saadakseen salausavaimet korttien avaamiseen. Sen jälkeen he kulkivat ihmisten läheltä kannettavan koneensa kanssa ladatakseen älykorttien sisältöjä koneelleen.

Salausavaimen avulla he pystyivät kloonaamaan älykortteja lataamiensa tietojen perusteella.

Älykortin salaus ei
ole riittävä


Tietoturvakonsultti Adam Laurie toteaa kyseessä olevan salauksen olevan kelpaamaton tarkoitukseen. Salaus on hyvin haavoittuva ja voimme odottaa pahantahtoisten tahojen hakkeroivan sen, elleivät he ole sitä jo tehneet, Laurie kertoo sanomalehti Telegraphin jutussa.

Bart Jacobs varoittaakin, että tekniikkaa voidaan käyttää kulkulupakorttien kloonaamiseen. Kloonattavan kortin omistaja ei välttämättä huomaa kloonauksen tapahtumista ja tekniikalle ei ole tällä hetkellä mitään teknisiä vastatoimia, Jacobs kertoo.

Jacobs on varoittanut Mifare-sirun haavoittuvuudesta Hollannin hallitusta huhtikuussa, joka on nyt aikeissa uusia kulkulupajärjestelmiään.

Kyseessä olevia haavoittuneita Mifare-siruun pohjautuvia kortteja on Timesin arvion mukaan kaksi miljardia kappaletta ympäri maailmaa.

Mifaren ongelmat ovat
tiedossa valmistajalla


Mifaren kehittäjäyritys NXP Semiconductors kertoo olevansa tietoinen Jacobsin ryhmän tutkimustuloksista. Yhtiö kertoo olevansa yhteyksissä Jacobsin ryhmään suunnitellakseen vastatoimia. 

NXP Semicondcutors ryhtyy toimittamaan Mifaresta uutta versiota pilottikäyttöön vielä tänä vuonna. Uudessa Mifare Plus-versiossa on uusina ominaisuuksina muun muassa 128-bittinen salaus.

Ongelma ei koske
YTV:n matkakortteja


Pääkaupunkiseudun joukkoliikenteestä vastaava YTV ei käytä kyseessä olevaa haavoittunutta tekniikkaa. YTV:llä on käytössä Idescon ratkaisu älykorteissa. Käytössä olevalla ratkaisulla ei ole mitään sertifikaatteja.

YTV on uusimassa tekniikkaansa 2009 kesällä. Korttivalinnassa päädyttiin NXP Semiconductorsin Mifare Desfireen, jota tämä haavoittuvuus ei kosketa.

Kommentit

    Näytä lisää