Scan mich, dann krieg ich dich!
Mit manipulierten RFID-Chips soll es möglich sein, die LesegerĂ€te an FlughĂ€fen zum Absturz zu bringen. Auch das Einschleusen und AusfĂŒhren von Code soll nicht ausgeschlossen sein.
Was Andrew Tanenbaum vor rund einem Jahr mit einem RFID-Virus fĂŒr Software von Oracle demonstrierte [1], will der RFID-Sicherheitsspezialist Lukas Grunwald nun auf elektronische ReisepĂ€sse verlagern. Mit einem geklontem RFID-Chip und einem prĂ€parierten JPG-Bild, wie es auch im E-Pass hinterlegt ist, gelang es ihm, mehrere LesegerĂ€te respektive die dazugehörige Software zum Absturz zu bringen. Grunwald schlieĂt laut dem Magazin Wired [2] daraus, dass sich ĂŒber den wahrscheinlich provozierten Buffer Overflow auch Code einschleusen und ausfĂŒhren lieĂe. Allerdings sei ihm dies noch nicht gelungen. Seine Untersuchungen sollen Inhalt eines Vortrages "First We Break Your Tag, Then We Break Your Systems" auf der Hacker-Konferenz DefCon in Las Vegas sein.
Sofern es jedoch gelĂ€nge, eigenen Code auf dem LesegerĂ€t auszufĂŒhren, könne man auch die weitergeleiteten Informationen manipulieren und etwa dem Mitarbeiter an der Grenze auf dem Bildschirm einen gĂŒltigen Reisepass vorgaukeln, obwohl er ungĂŒltig ist. Welche LesegerĂ€te betroffen sind, will Grunwald nicht nennen, allerdings seien sie an einigen FlughĂ€fen im Einsatz. Es sei davon auszugehen, dass die Produkte anderer Hersteller den gleichen Fehler aufweisen, da sie mit hoher Wahrscheinlich alle die gleiche (fehlerhafte) Software zum Verarbeiten von Bildern im JPEG2000-Format einsetzen.
Siehe dazu auch:
- Scan This Guy's E-Passport and Watch Your System Crash [3], Bericht von Wired
(dab [4])
URL dieses Artikels:
https://www.heise.de/-158470
Links in diesem Artikel:
[1] https://www.heise.de/news/Katze-mit-Computervirus-110494.html
[2] http://www.wired.com/
[3] http://www.wired.com/politics/security/news/2007/08/epassport
[4] mailto:dab@ct.de
Copyright © 2007 Heise Medien