Home > Notícias

Passaporte eletrônico é vulnerável, diz pesquisador

Dados em chips de e-passports podem ser modificados sem serem detectados, uma brecha de segurança nos sistemas de aeroportos.

IDG News Service/Reino Unido

01/10/2008 às 14h51

Foto:

Um pesquisador de segurança holandês demonstrou várias fraquezas no sistema de passaportes eletrônicos que está sendo adotado por mais de 50 países.

Os chips com RFID (identificação de rádio freqüência) embutidos contêm informações biométrias e pessoais. A adoção dos chamados "e-passport" pretende eliminar os passaportes falsos e reforçar a triagem nas fronteiras.

O pesquisador alemão Jeroen van Beek apresentou um kit de ferramentas de software que podem ser usados para incluir dados falsos em chips RFID.

Em um vídeo demonstrativo, Van Beek mostra como um scanner do aeroporto de Amsterdam lê um passaporte eletrônico que ele configurou com informações e a fotografia de Elvis Presley.

Isso significa que um fraudador poderia criar um passaporte falso com um chip RFID que pareça legítimo. A razão do arquivo parecer legítimo é devido a um problema fundamental de como os governos estão desenvolvendo os sistemas para lidar com os e-passports, disse Adam Laurie, assistente de Van Beek, durante a demonstração.

Dados do passaporte em um chip RFID são assinados com um certificado digital pertencente ao país no qual foi emitido. Sistemas do tipo devem confirmar sua autorização quando escaneia um passaporte, completou Laurie.

Todos os países que estão aderindo ao "e-passport" precisam carregar seus certificados digitais no Public Key Directory, um banco de dados que deve ser consultado para se ter certeza de que o certificado está correto. Mas apenas 10 dos 50 países aceitaram colocar seus sertificados no PKD e apenas cinco estão contribuindo com o banco de dados.

"Basicamente, todo o sistema cai. A segurança está enraizada no suporte que o banco de dados dá aos certificados", disse Laurie.

Na demonstração de Beek, o chip do passaporte eletrônico contendo dados fraudulentos apresenta seu próprio certificado, que parece ser de uma autoridade legítima, mas não é.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail