新攻击程序可直接从 RFID信用卡上读写数据

全球著名的黑客大会BlackHat本周在美国首都华盛顿举行，会上来自各国的研究人员公开了很多新颖的攻击手法，此外，本周值得关注的新闻集中在隐私保护、电子邮件安全、恶意软件三个领域。 

周三，在本周于美国华盛顿举行的BlackHat DC大会上，研究人员Adam Laurie发布了其最新的研究成果——能够直接在RFID或磁条介质的信用卡和其他卡片上读写信息的攻击程序，黑客只需通过这个程序，结合最普通的读卡器，便可直接进行相关攻击。此外，这名研究人员还发现，相当多种类的卡片上所存储用户隐私信息并没有经过妥善加密，攻击者可轻易的从这些卡片上读出合法用户的隐私信息，并进行卡片复制或其他类似的非法活动。 

攻击者通过特殊的读卡器并结合一定的欺骗手段，获取银行卡信息以进行复制卡的活动，是我们可以经常在媒体上看到的案例。这次研究人员在BlackHat DC上公开的能够直接从信息卡上读写信息的新攻击程序，它对信息安全的最大意义，并不只是为针对信用卡之类的卡片攻击者增加了一个新工具，而是它的公开出现，显示了卡片攻击技术门槛的降低。现在随便一个稍微掌握一些攻击技能的人，都可以通过这个程序，外加一个100美元左右的读卡器，即可轻松完成昔日需要有特殊工具及高超技术才能完成的信用卡复制攻击。 

在身份识别和商业领域广泛使用的基于RFID芯片的各种卡片，也因为这次在BlackHat DC公开的新攻击程序而面临更严重的威胁，如护照的持有人存储RFID卡片上的个人隐私信息可被轻易的读取和破解、使用RFID电子标识的销售商会发现自己的商品价格被非法修改。此外，研究人员Adam Laurie所发现的目前使用的大部分磁条或RFID卡片存储信息时都没有经过妥善加密也是卡片使用中的一个相当大的漏洞。笔者认为，在今后的一段时间内，针对磁条或RFID卡片的攻击会因为技术门槛的降低而快速增加，这个趋势都需要引起相关的厂商和安全业界的深入关注