ePass App Live Demonstration of Authentication Process
Data på radiokretsarna i så kallade e-pass kan klonas och modifieras utan detektering, vilket representerar ett gapande säkerhetshål i nästa generations gränskontrollsystem, enligt säkerhetsforskare.
Uppåt av 50 länder rullar ut pass med inbyggda RFID-kort (radiofrekvensidentifiering) som innehåller biometriska och personuppgifter. Flyttningen syftar till att skära ner på bedrägliga pass och stärka gränserna, men säkerhetsexperter säger att systemen har flera svagheter.
Holländska forskaren Jeroen van Beek har släppt en mjukvaruverktygssats som kan användas för att koda RFID-chips med falsk information. I en demonstrationsvideo visar van Beek hur en scanner på Amsterdams flygplats läser ett pass-chip som han kodade med Elvis Presleys information och fotografi.
Det innebär att en bedrägeri potentiellt kan skapa ett falskt pass med ett RFID-chip som verkar vara legitimt. Anledningen till att uppgifterna ser legitima ut på grund av ett grundläggande problem i hur regeringar sätter upp system för att hantera e-pass, säger Adam Laurie, en frilans säkerhetsforskare som arbetade med van Beek om demonstrationen.
Passdata på RFID-chips är undertecknad med ett digitalt certifikat som tillhör det land till vilket passet utfärdades. E-pass-system ska verifiera certifikatet när man skannar ett pass, säger Laurie.
Alla länder som utfärdar e-pas ska ladda upp sitt digitala certifikat till Public Key Directory (PKD), en databas som bör ställas till Se till att certifikatet är korrekt, sade Laurie.
Men bara 10 av de 50 länderna har gått med på att ladda upp certifikaten till PKD, sade Laurie. Bara fem länder bidrar till databasen, sade han.
"I grund och botten faller hela saken ner," sa Laurie. E-passportens säkerhet är förankrad i back-enddatabasskontrollen av dessa certifikat, säger han.
I van Beeks demonstration presenterar passchipet som innehåller bedrägliga data sitt eget certifikat som verkar vara från en legitim myndighet, men är inte 't. Eftersom Nederländerna inte använder PKD för att verifiera passcertifikat godkänns certifikatet, säger Laurie.
Uppgraderade verktygstest SAP Säkerhet Svagheter
Ekonomichef överblickar ofta vikten av SAP-säkerhet för att påskynda implementeringen, säger forskare
Forskare: Steam-URL-protokollet kan missbrukas för att utnyttja svagheter i spelet.
Attackers kan lura spelarna till att öppna skadlig ånga: // URL utnyttja säkerhetsproblem i spel för att utföra skadlig kod.
Huawei Technologies är villiga att acceptera nya indiska regler som kommer att kräva leverantörer av telekommunikationsutrustning att bland annat ge regeringen tillgång till källkod och ingenjörsmodeller för sin utrustning, säger bolaget på torsdagen. Det kinesiska företaget välkomnar de nya säkerhetsreglerna, och kommer att samarbeta nära regeringen med de nya riktlinjerna, sade en företags talesman.
Enligt nya regler för tjänsteleverantörer som föreslogs av telekommunikationsdepartementet (DOT), måste leverantörerna av utrustning tillhandahålla tjänsteleverantörer och DOT eller utsedda myndigheter att inspektera deras hårdvara, mjukvara, design, utveckling, tillverkningsanläggning och försörjningskedja och underkasta all programvara till en säkerhetshotskontroll vid tidpunkten för upphandlingen och vid angivna insatser