3min

Tags in dit artikel

, , ,

Een Amerikaanse informatiebeveiligingsexpert is er in geslaagd om RFID-chips op Amerikaanse paspoorten op afstand uit te lezen, zonder dat de eigenaren daar weet van hadden.

Chris Paget spendeerde 250 dollar aan componenten die voor iedereen verkrijgbaar zijn en bouwde daarmee een apparaat waarmee RFID-chips op afstand uit te lezen zijn. Hij bouwde het apparaat vervolgens in zijn auto en na een rit van twintig minuten door het centrum van San Francisco had hij de RFID-chip van twee paspoorten gekopieerd zonder dat de eigenaren er ook maar iets van merkten.

Paget kocht voor zijn scanner vrijwel alle onderdelen op eBay. Hij gebruikte een Symbol XR400 RFID reader en monteerde een Motorola AN400-antenne op zijn auto. De reader sloot hij vervolgens met een ethernetkabel aan op zijn Dell 710m-laptop. Op de laptop draaide hij een Windows-applicatie die de reader constant de opdracht geeft om RFID-chips te scannen en de gegevens op te slaan zodra een chip is uitgelezen.

De methode om de chips uit te lezen is gebaseerd op onderzoek (PDF) van de RSA en de universiteit van Washington. Zijn ontdekten vorig jaar een lek in de nieuwe Amerikaanse paspoorten en rijbewijzen. De nieuwe paspoorten worden momenteel getest door de Amerikaanse overheid en zijn alleen geschikt om reizen te maken naar Mexico, Canada, de Cariben en Bermuda. De nieuwe rijbewijzen worden momenteel uitgegeven in de staten Washington en New York.

Paget voerde de actie naar eigen zeggen uit om te bewijzen dat de onderzoekers het bij het rechte eind hadden. "Het is bedoeld om het argument te ontkrachten dat het niet mogelijk is om de beweringen van de onderzoekers in het echt uit te voeren en dat het allemaal maar theorie is", aldus Paget.


Een schematisch voorbeeld van een RFID-paspoort

Volgens de onderzoekers van de RSA zijn de RFID-chips in de nieuwe paspoorten uiterst kopieergevoelig, omdat de gegevens op de chip niet versleuteld zijn en uitleesbaar zijn tot op een afstand van ruim anderhalve kilometer. Pagets apparaat werkt tot op een afstand van ruim negen meter, waardoor het mogelijk is om de scans te maken zonder opgemerkt te worden. Volgens Passet kan zijn apparaat eenvoudig aangepast worden zodat het scanbereik nog groter wordt. De apparatuur zou eenvoudig weggewerkt kunnen worden in de carosserie van de auto. Paget heeft een filmpje online gezet waarin hij de techniek demonstreert. Het filmpje is hier te vinden.

Opgemerkt moet worden dat de chip in de Amerikaanse paspoorten enkel en alleen een uniek serienummer bevat die gekoppeld is aan gegevens die opgeslagen zijn in een beveiligde database van het Amerikaanse Department of Homeland Security. Desondanks zien privacygroeperingen grote risico’s, omdat de chips massaal uitgelezen kunnen worden. Het klonen van de uniek serienummer is volgens de groeperingen dan ook een eerste stap naar het fabriceren van valse paspoorten. Ook andere overheidsdiensten zouden op deze manier zonder toestemming chips uit kunnen lezen en zo gedetailleerde informatie kunnen bijhouden over wie zich waar begeeft.

De Amerikaanse douane heeft echter laten weten geen plannen te hebben om het systeem om te gaan gooien. De nieuwe paspoorten leveren een grote snelheidswinst op bij de afwikkeling van reizigers en daarnaast worden nieuwe paspoorten geleverd met een beschermhoesje dat uitlezen tegengaat. Ook zou de uitgelezen informatie nutteloos zijn andere partijen. "De zorgen over privacy zijn wat ons betreft teveel opgeblazen. Nieuwe technologieën kunnen altijd op bepaalde manieren misbruikt worden. Wij willen reizigers bewust maken van de techniek en ervoor zorgen dat ze het met een veilig gevoel willen gebruiken", aldus woordvoerder Kelly Ivahnenko tegenover The Register.