Peneliti Menemukan Masalah Dengan Kartu Paspor RFID

Tag RFID yang digunakan dalam dua jenis dokumen penyeberangan perbatasan baru di AS rentan terhadap pengintaian dan penyalinan, kata seorang peneliti pada hari Kamis.

Kartu Paspor Amerika Serikat dikeluarkan oleh Departemen Luar Negeri AS dan EDL (meningkatkan lisensi pengemudi) dari negara bagian Washington berisi tag RFID (identifikasi frekuensi radio) yang dapat dipindai pada penyeberangan perbatasan tanpa diserahkan kepada agen. Keduanya diperkenalkan awal tahun ini untuk perlintasan perbatasan hanya dengan darat dan air, dan tidak dapat digunakan untuk perjalanan udara. New York adalah satu-satunya negara bagian AS lainnya dengan EDL, meskipun yang lain sedang dalam pengerjaan.

Informasi dalam tag ini dapat disalin ke tag lain, di luar tag, yang mungkin digunakan untuk meniru pemilik yang sah dari kartu jika agen Departemen Keamanan Dalam Negeri AS di perbatasan tidak melihat kartu itu sendiri, kata para peneliti. Bahaya lain adalah bahwa tag dapat dibaca dari sejauh 150 kaki dalam beberapa situasi, sehingga penjahat bisa membacanya tanpa terdeteksi. Meskipun tag tidak berisi informasi pribadi, mereka dapat digunakan untuk melacak gerakan seseorang melalui pengawasan yang berkelanjutan, kata mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Bahaya lain adalah bahwa peretas dapat menyebabkan EDL merusak diri sendiri dengan mengirimkan nomor tertentu, kata mereka.

"Akan lebih mudah bagi seseorang untuk membaca kartu paspor Anda atau EDL," kata Tadayoshi Kohno, asisten profesor ilmu komputer dan teknik di Universitas Washington.

Meskipun tidak ada alasan untuk panik, "Hati kita harus mulai berdetak sedikit lebih cepat," kata Kohno. Risiko untuk penumpang individu rendah, tetapi masalah menciptakan kelemahan sistemik dalam sistem lintas batas, menurut ringkasan laporan.

Ritel, pengiriman dan bisnis lainnya semakin menggunakan tag RFID sebagai kode bar nirkabel yang dapat berisi lebih banyak informasi daripada yang dicetak tradisional. Pertumbuhan teknologi membuat alat peretasan RFID lebih mudah tersedia, kata Kohno.

Dalam serangan kloning, peretas dapat membaca informasi dari tag RFID kartu, baik ketika pemegang kartu lewat atau sebagai pejabat pembaca kartu sedang mengambil data. Penyerang kemudian bisa menyandikan tag RFID generik dengan data yang sama, kata Kohno. Dengan tag yang baru dikodekan itu, seseorang dapat menyelinap melewati perbatasan dengan muncul ke pembaca RFID untuk memiliki kartu identitas yang sah, selama tidak ada yang bertanya untuk melihat kartu yang sebenarnya.

Sendiri, kerentanan RFID tidak berarti seseorang akan lolos dengan kloning atau serangan lain, kata Kohno.

"Kenyataannya, sistem yang terlibat dalam penyeberangan perbatasan jauh lebih besar daripada hanya aspek teknis," kata Kohno. Sebagai contoh, pihak berwenang kemungkinan akan mewawancarai pengemudi dan penumpang yang melintasi perbatasan dan melihat kartu identitas mereka, katanya. Mereka juga dapat menggunakan tindakan lain terhadap penyatuan kartu dekat penyeberangan perbatasan.

Namun, Kohno dan tiga rekan peneliti percaya ada mekanisme yang tersedia untuk tag RFID yang tidak digunakan oleh pemerintah AS dan Washington.

Misalnya, setiap tag memiliki dua nomor khusus: PIN akses (nomor identifikasi pribadi) dan PIN bunuh. (Ini lebih besar dari PIN kartu bank dan tidak dipilih oleh pemegang kartu.) PIN akses dapat digunakan untuk memverifikasi bahwa tag itu sah dan PIN kill dapat digunakan untuk merender tag yang tidak dapat dibaca.

Akses PIN digunakan baik pada kartu paspor dan EDL, tetapi ada tindakan pengamanan tambahan yang menurut para peneliti tidak berwenang gunakan. Misalnya, mereka dapat menguji PIN akses menggunakan informasi dari database, kata Kohno. Selain itu, PIN membunuh tidak diatur di Washington EDL, yang bisa membuat mereka rentan terhadap serangan yang akan membuat semua kartu tersebut di situs tertentu tidak dapat dibaca, katanya. Serangan semacam itu dapat menyebabkan gangguan atau merongrong kepercayaan wisatawan, kata ringkasan itu.

Para peneliti telah memberikan rekomendasi kepada otoritas AS dan Washington, kata Kohno.

Paspor AS ukuran penuh, yang merupakan buklet dan bukan kartu, tidak terpengaruh oleh kerentanan ini karena tag RFID mereka memiliki perlindungan kriptografi dan buklet memiliki logam mencakup perlindungan terhadap pengintaian, kata para peneliti.

Untuk perlindungan diri, para peneliti menyarankan konsumen menggunakan lengan pelindung yang datang dengan kedua kartu, yang dapat membantu mencegah pemindaian bawah tanah. Wisatawan juga dapat menggunakan paspor AS berukuran lebih aman sebagai gantinya.