Dispositivos pessoais equipados com tecnologia RFID à prova de hack

Lock and glass globe

Dispositivos pessoais equipados com tecnologia RFID à prova de hack

As etiquetas de identificação por radiofrequência (RFID) tornaram-se quase onipresentes – observe com cuidado e você as notará em passaportes, cartões de crédito, livros de biblioteca, passes de acesso ao escritório e até mesmo gatos de estimação.

A tecnologia, que permite a identificação rápida e automatizada de objetos físicos, também é um grampo para muitas indústrias – fábricas e armazéns usam-no para rastrear inventário e gerenciar cadeias de suprimentos, empresas farmacêuticas utilizam para rastrear remédios e serviços de entrega usam para marcar suas entregas. Mas o que aconteceria se a tecnologia RFID fosse comprometida ?

“Uma falha de segurança nas aplicações de RFID estaria vazando informações valiosas sobre objetos físicos a partes não autorizadas”, diz Li Yingjiu, Professor Associado da Universidade de Sistemas de Informação de Singapura (SMU). O Professor Li, especialista em segurança e privacidade RFID, assim como outros aspectos da segurança móvel, está se esforçando para melhorar a segurança na tecnologia.

Melhorando os Protocolos de Segurança RFID

Como as tags RFID funcionam transmitindo informações para leitores eletrônicos de RFID, violações de segurança podem ocorrer se os hackers conseguirem interceptar este sinal de transferência, podendo acessar ou manipular informações. As consequências de tal ataque podem ser graves, diz o professor Li, “no contexto da gestão da cadeia de abastecimento, por exemplo, isso significa que a espionagem industrial pode obter informações sensíveis sobre os níveis de estoque, volumes de negociação, parceiros comerciais e até mesmo planos de negócios” explica.

Para proteger as comunicações entre tags e leitores, o Professor Li e sua equipe estão projetando e testando novos protocolos RFID com recursos de segurança aprimorados, como aqueles em estudo no ano de 2010, “alcançando alta segurança e eficiência em RFID marcamos as cadeias de abastecimento” publicado no International Journal of Applied Cryptography. Essas estratégias incluem tornar a saída do protocolo imprevisível, tornando indistinguíveis duas tags para o hacker e impedindo que eles obtenham informações úteis mesmo que consigam interagir com as tags. Além disso, existem muitos casos em que o compartilhamento de informações RFID – entre fornecedores e varejistas, por exemplo, ou entre vários componentes de uma Internet das Coisas – teria benefícios óbvios, diz o Professor Li. Mas sem controles de segurança adequados, no entanto, a maioria das empresas seria relutando em disponibilizar dados valiosos. Para resolver este problema, a equipe do Professor Li também está projetando melhores mecanismos de controle de acesso que protegem as informações RFID quando é compartilhado na internet.

Teste de tensão para o Smartphone

Nós carregamos RFID em nossos bolsos para diversos lugares – sistemas de pagamento móvel, como o Apple Pay e o Google Wallet. Dada a crescente dependência de smartphones para funções diárias – transações bancárias e pagamentos sem contato, por exemplo –a segurança móvel tornou-se uma área de importância crítica.

Professor Li é particularmente experiente em rastrear potenciais vulnerabilidades em sistemas operacionais e smartphones. Em 2012, sua equipe identificou uma série de ataques que os hackers poderiam usar para atingir aparelhos da Apple. O código para lançar estes ataques – que inclui cracking de código de acesso, interferência ou controle da funcionalidade de telefonia e envio de tweets sem a permissão do usuário – pode ser incorporado em aplicativos de terceiros disponíveis na loja do iTunes.

A equipe relatou suas descobertas à equipe de segurança da Apple e a empresa conectou essas brechas quando seu novo sistema operacional foi lançado no ano seguinte. Eles também escreveram suas descobertas no artigo de 2013, “Lançamento de ataques genéricos em iOS com aplicativos de terceiros aprovados”, que foi publicado no Proceedings of Applied Cryptography and Network Security: 11th International Conference, ACNS 2013. Mais recentemente, a equipe do Professor Li também relatou vulnerabilidades no framework Android e potenciais ataques ao Google, que passou a reconhecer as descobertas do grupo SMY em seus boletins de segurança. A equipe também desenvolveu um conjunto de ferramentas de análise de vulnerabilidade de smartphones em colaboração com a empresa cinhesa de telecomunicações Huawei; Duas patentes decorrentes deste projeto foram valiadas como “potencialmente alto valor” pela empresa. “Vemos as oportunidades de trabalhar com a indústria nesta área, porque é importante para os fabricantes de smartphones fazer sus produtos melhores em termos de segurança”, diz o Professor Li.

celular-gettyimages

Reduzir o fosso entre a academia e a indústria

Há muitas situações nas quais os proprietários de dados podem não confiar inteiramente nos provedores de serviços – quando armazenamos dados em serviços em nuvem ou troca-los por meio de sistemas de mensagens seguros, por exemplo. Em colaboração com o Professor Robert Deng, também da Escola de Sistemas de Informação da SMU, o Professor Li está agora trabalhando para desenvolver novas soluções para criptografia baseada em atributos – uma forma de criptografia que dá aos proprietários de dados um melhor controle sobre quem pode acessar seus dados.

As soluções da dupla, diz o Professor Li, que compartilhavam em um artigo, “Criptografia baseada em atributos de key-policy totalmente segura com ciphertexts de tamanho constante e de criptografia rápida” para ASIA CCS’14: Procedimentos do 9º Simpósio ACM sobre Informação, Segurança de Computadores e Comunicações, tem muitas aplicações em cenários do mundo real. Apesar de sua promessa, no entanto, obter esta pesquisa para o mercado ainda está provando ser um desafio. “Embora possamos provar em teoria e usando protótipos de prova de conceito que nossa solução é melhor do que as soluções existentes em termos de segurança e flexibilidade, ainda é difícil convencer a indústria a adotá-lo sem desenvolvê-lo em um produto final”, Professor Li aponta. De fato, um dos maiores desafios do campo de segurança de dados é o fosso crescente entre a academia e a indústria, diz ele. Equanto as pessoas na indústria estão familiarizadas com o mercado, elas são, em sua maioria, isoladas da pesquisa de ponta; Por outro lado, os acadêmicos prestam muita atenção à pesquisa e não o suficiente para entender o mercado. “O futuro da segurança de dados, na minha visão, é como reduzir a diferença e unir as duas comunidades, que têm incentivos e critérios de avaliação completamente diferentes”, diz o professor Li. Por sua parte, ele acrescenta, ele está ansioso para explorar maneiras de aumentar o impacto industrial de sua pesquisa.

 

Notícia original: phys.org