Электронные паспорта позволяют следить за человеком

Исследователи из Бирмингемского Университета обнаружили очередную серьезную уязвимость в электронных паспортах граждан. Так, недостатки существующей технологии могут позволить разработать и построить устройство, которое каждый раз будет сигнализировать о появлении вблизи владельца нужного Е-паспорта. Хотя предлагаемая схема возможности использования данной уязвимости на первый взгляд кажется довольно надуманной, всё же в некоторых гипотетических случаях она может оказаться работоспособной. Для начала работы злоумышленникам нужно прослушать обмен между электронным паспортом жертвы и RFID-сканером (как вариант - при пересечении человеком границы). Конечно, обмен конфиденциальными данными шифруется, всё же здесь речь идёт не о полной расшифровке, а всего лишь о банальном перехвате отправленного сообщения, в котором авторизированный сканер передаёт е-паспорту ключ для конкретной сессии. Дальше данное сообщение также кодируется, однако, смысл в том, что сообщение, как и всякое последующее сообщения между RFID-сканером и е-паспортом, подписано уникальным для е-паспорта авторизированным MAC-кодом (который е-паспорт предварительно сообщил RFID-сканеру). "Наше исследование настоящих е-паспортов показало, что всё же существует отличие между сообщениями, которые были отклонены из-за некорректного ключа сессии, и сообщениями, которые были отклонены из-за ошибки при проверке кода аутентификации", — объяснили специалисты-исследователи Виталий Смирнов и Том Чотиа (Tom Chothia). Большинство электронных паспортов это отличие получает из-за разницы во времени, после которого е-паспорт выдаёт ошибку (в одном из таких случаев ему приходится тратить дополнительное время на расшифровку сообщения). Продолжительность этого интервала зависит в большей степени страны, которая выдала е-паспорт. Так, для французских паспортов вовсе не нужно и этого: в вышеописанных случаях они просто выдают два абсолютно разных кода ошибок.