RFID vatbaar voor computervirussen

Hoewel de ene site na de andere krant weet te melden dat ‘RFID-tags vatbaar voor computervirussen’ zijn, komt het er in de praktijk op neer dat het juist de backend van een RFID-systeem is die de kwetsbaarheden vertoont. Men mag veronderstellen dat de recente aandacht voor privacyproblemen met de ‘elektronische barcodes’ de aandacht op het project vestigde, maar juist privacy is voor het Amsterdamse onderzoek van geen enkel belang. Het blijkt daarentegen dat de apparatuur die de radiografische tags leest, niet altijd voldoende beveiligd is tegen invoerfouten. Voor programmeurs geldt het onderzoek dan ook als een zinvolle waarschuwing, maar voor niet-ingevoerden lijkt het onderzoek weinig meer te betekenen dan de mededeling dat ook deze techniek bepaald niet onkwetsbaar is.

Promovendus Melanie Rieback beschrijft diverse manieren om zwakheden in bijvoorbeeld databases of interface-software te exploiteren. Vrijwel het hele verhaal is echter ook van toepassing op, zeg, pasjes met een magneetstrip: met beide kan een achterliggend systeem worden voorzien van data, waarmee bijvoorbeeld SQL injection- of buffer overflow-aanvallen kunnen worden uitgevoerd. De consequentie van een gecompromitteerde backend is uiteraard dat ook nieuw geprogrammeerde RFID-tags onbetrouwbaar zijn, en met de groeiende populariteit van RFID zou de verspreiding een stuk harder kunnen gaan dan met alternatieve datadragers. Interessanter is wellicht het werk dat Rieback c.s. verichtte aan de RFID Guardian, een soort stoorzender die aan RFID-tags gerichte signalen onderschept en in plaats van hen antwoordt met een sterk signaal, dat de respons van de tag overschreeuwt. Ironisch genoeg is juist een dergelijk apparaat uitstekend bruikbaar om een RFID-backend mee aan te vallen.