Gebärdensprachvideo: Bundeskanzlerin Merkel hält Brexit-Einigung in Brüssel für möglich
Die Daten auf den Funkchips in so genannten E-Pässen können ohne Vorwarnung geklont und verändert werden, was laut Sicherheitsforschern eine klaffende Sicherheitslücke in Grenzkontrollsystemen der nächsten Generation darstellt.
Nach oben von 50 Ländern führen Pässe mit eingebetteten RFID-Chips (Radio Frequency Identification) aus, die biometrische und personenbezogene Daten enthalten. Der Umzug soll betrügerische Pässe eindämmen und Grenzkontrollen verstärken, aber Sicherheitsexperten sagen, dass die Systeme mehrere Schwächen aufweisen.
Der niederländische Forscher Jeroen van Beek hat ein Software-Toolkit veröffentlicht, mit dem RFID-Chips mit falschen Informationen kodiert werden können. In einem Demonstrationsvideo zeigt van Beek, wie ein Scanner am Amsterdamer Flughafen einen Pass-Chip liest, den er mit Informationen und Fotos von Elvis Presley verschlüsselt hat.
Es bedeutet, dass ein Betrüger einen gefälschten Pass mit einem RFID-Chip erstellen könnte, der legitim erscheint. Der Grund, warum die Daten legitim erscheinen, liegt an einem grundlegenden Problem, wie Regierungen Systeme für den Umgang mit E-Pässen einrichten, sagte Adam Laurie, ein freier Sicherheitsforscher, der mit van Beek an der Demonstration arbeitete.
Passport-Daten zu RFID-Chips ist mit einem digitalen Zertifikat unterzeichnet, das dem Land gehört, in dem der Reisepass ausgestellt wurde. E-Pass-Systeme sollen dieses Zertifikat beim Einscannen eines Passes überprüfen, sagte Laurie.
Alle Länder, die E-Pässe ausgeben, sollen ihr digitales Zertifikat in das Public Key Directory (PKD) hochladen, eine Datenbank, die abgefragt werden sollte Stellen Sie sicher, dass das Zertifikat korrekt ist, sagte Laurie.
Aber nur 10 der etwa 50 Länder haben zugestimmt, diese Zertifikate in die PKD hochzuladen, sagte Laurie. Nur fünf Länder tragen zur Datenbank bei, sagte er.
"Im Grunde fällt die ganze Sache", sagte Laurie. Die Sicherheit des E-Pass-Systems habe seinen Ursprung in den Backend-Datenbankprüfungen dieser Zertifikate.
Bei der Demonstration von Van Beek stellt der Pass-Chip, der betrügerische Daten enthält, sein eigenes Zertifikat vor, das von einer legitimen Autorität zu sein scheint t. Da die Niederlande PKD nicht zur Überprüfung von Passzertifikaten verwenden, wird das Zertifikat akzeptiert, sagte Laurie.
Dell zeigt seinen neuen Ultraslim Adamo Laptop
Dell hat sein Schweigen über Adamo gebrochen und zeigt den ultraslim Laptop während einer Pressekonferenz auf der CES.
Verbesserte Tool-Tests Schwächen in der SAP-Sicherheit
CFOs übersehen oft die Bedeutung von SAP-Sicherheit, um die Implementierung zu beschleunigen, sagt der Forscher
Anwendungsspezifische Passwörter schwächen Googles Zwei-Faktor-Authentifizierung, sagen Forscher.
Forscher haben eine Lücke im Google-Authentifizierungssystem entdeckt um die 2-stufige Login-Verifizierung des Unternehmens zu umgehen, indem die für einzelne Anwendungen verwendeten eindeutigen Passwörter missbraucht werden.