Kalifornien gör det kriminellt att skimma RFID-etiketter

Kalifornien blev den andra staten för att passera en lag som gör det olagligt att stjäla data från RFID-kort (radiofrekvensidentifiering).

Lagen fastställer ett straff som innehåller en maximal böter på 1,500 US-dollar och upp till ett år i fängelse för någon dömd för att surreptitiously läsa information från ett RFID-kort.

RFID-chips, som används i en växande mängd applikationer över hela världen, lagrar små mängder information som en närliggande enhet kan läsa. Bland annat kan chipsen användas för att lagra kunddata på ett kreditkort eller tillåta auktoriserade personer att öppna låsta kontorsdörrar eller bildörrar i "inbyggda" inmatningssystem.

Kalifornienräkningen gör undantag för vissa nödsituationer, t.ex. som tillåter en vårdpersonal att skanna någon persons RFID-aktiverade hälsokort för att hjälpa personen. Dessutom skulle poliserna få se information om ett RFID-kort med en warrant.

Räkningen introducerades första gången av Kaliforniens stats senator Joe Simitian 2006 och den slutliga versionen skrevs in i lag på onsdagen. Det stöddes av en mängd olika grupper som sträcker sig från amerikanska civila frihetsunionen till Gun Owners i Kalifornien.

Tidigare i år blev Washington den första staten som passerade en lag mot stöld av RFID-data. Washington gör det till en klass C-brott mot att stjäla data från ett RFID-kort, särskilt för bedrägeri, identitetsstöld eller andra olagliga ändamål. Det innebär att om en dömd skulle kunna få straff straffas straffavgiften med 10 000 dollar och fem års fängelse. Om det finns säkerhetsmekanismer som emittenter av RFID-kort kan använda för att göra det svårare för någon att stjäla data lagras på dem, många gör det inte eller gör det dåligt, så dessa lagar kan hjälpa till att fungera som avskräckande mot hackare.

Ett papper som nyligen publicerats av Stanford Law Review detaljerade några alarmerande exempel på säkerhetsforskare som hackade in i RFID system. I ett fall knäckte forskare vid Johns Hopkins University krypteringskoden på Texas Instruments-chips som används i Exxon Mobil-gaskort. Beväpnad med den koden, en bärbar dator och en enkel RFID-enhet, kunde de fylla upp sina tankar med gas gratis.

I Stanford-papperet nämns också arbeten som utförs av datasäkerhetsforskare vid IO Active, vilket visar hur enkelt de kunde klona information lagras på byggkortet. I ett annat exempel som beskrivs i papperet spenderade forskare från University of Massachusetts $ 150 för att bygga en RFID-läsare och fann att de kunde läsa information som namn och annan data lagrad på RFID-aktiverade kreditkort. De fann att data lagrades på de kommersiellt använda korten okrypterade och i vanlig text.

Kaliforniens guvernör i veckan vetoade en annan relaterad proposition som också introducerades av Simitian. Den fakturaen skulle ha krävt att skolor skulle få skriftligt samtycke från föräldrar innan de utfärdade RFID-kort till studenter som skulle kunna användas för att registrera närvaro eller spåra elevernas vistelseort. Räkningen, utarbetad efter att kontroversen utbröt på en Kalifornienskola som utfärdade RFID-kort till studenter, skulle också ha krävt skolor att vidta vissa åtgärder för att skydda elevernas integritet.