Wissenschaftler der Ruhr-Universität Bochum ist es gelungen, den Sicherheitsmechanismus von RFID-Chipkarten auszuhebeln. Mittels „Seitenkanalanalyse“ konnten die Forscher vom Lehrstuhl für Eingebettete Sicherheit Chipkarten vom Typ DESFire MF3ICD40 klonen, die häufig in Bezahl- und Zugriffskontrollsystemen Verwendung finden. Sie kommen beispielsweise in den Verkehrsbetrieben von Melbourne, San Francisco und Prag als elektronische Fahrkarten zum Einsatz.
Die von NXP hergestellten RFID-Karten sind mittels Triple-DES gesichert, einer aus mathematischer Sicht unknackbaren Chiffre. Die Bochumer Forscher konnten den 112-Bit-Schlüssel dennoch vollständig auslesen, indem sie Veränderungen im Magnetfeld untersuchten. „Wir haben den Stromverbrauch der Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen“, erklärt David Oswald, Mitglied des Teams um Professor Christof Paar.
Mit dem Schlüssel lassen sich unerkannt beliebig viele Kopien einer Karte erstellen. Der Aufwand dafür hält sich in Grenzen: „Für unsere Messungen brauchten wir eine RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können“, sagt Oswald. Der reine Materialpreis für die Ausrüstung betrage nur wenige Tausend Euro. Der Zeitaufwand liege bei rund sieben Stunden – detailliertes Vorwissen zu Aufbau und Charakteristika der Karte vorausgesetzt.
Der Hersteller NXP hat die Lücke inzwischen bestätigt. Er empfiehlt seinen Kunden, auf ein neueres Modell umzusteigen.
Ein anderes Wissenschaftlerteam der Ruhr-Universität Bochum hatte erst kürzlich Sicherheitslöcher in Amazons Clouddiensten aufgedeckt. Mittels sogenannter Signature-Wrapping-Angriffe konnten sie die Kontrolle über die Cloud eines Kunden übernehmen und darin etwa neue Instanzen anlegen, Images erstellen oder auch löschen. Amazon hat die Schwachstellen mittlerweile beseitigt.
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…