Erster Virus für RFID-Chips entwickelt

Forscher: Sicherheitsdesaster auf Abruf

Eine Gruppe von Informatikern hat heute, Mittwoch, auf der IEEE Conference of Pervasive Computing in Pisa die Infektion eines RFID-Chips mit einem Virus demonstriert. In ihrem Arbeitspapier legen die Techniker dar, wie es Schädlingen gelingt, sich in dem nur 128 Byte großen Speicher der Chips festzusetzen. Das von den Forschern der Vrije-Universität in Amsterdam entwickelte Virus kann sich selbst reproduzieren und verbreitet sich über die RFID-Lesegeräte. So kann es Unternehmensnetzwerke infizieren, sogar eine Ausbreitung auf andere Chips mit einer späteren Störung ganzer Logistiksysteme wäre möglich.

Bislang wurde eine Infektion von RFID-Chips weitgehend ausgeschlossen, da die Chips nur über eine äußerst geringe Speicherkapazität von 128 Zeichen verfügen. Die Forschergruppe hat nun gezeigt, dass ein solcher Angriff durchaus möglich ist. Vor allem Schadprogramme aus der Computerwelt, die einzelne Server durch eine Flut von Anfragen in die Knie zwingen (Buffer overflow), könnten auch RFID-Chips gefährlich werden, hieß es. RFID-Phishing sei ebenfalls möglich.

„Es sollte nicht überraschen, dass ein System, das so billig wie möglich hergestellt werden soll, über keinerlei Sicherheitssysteme verfügt“, zitiert die New York Times Peter Neumann, Wissenschaftler bei dem kalifornischen Forschungsunternehmen SRI International. Neumann bezeichnete die Funkchips sogar als „Sicherheitsdesaster auf Abruf“.

Der Informatiker Andrew Tanenbaum, Erfinder des Betriebssystems Minix, hat in Pisa gleich mehrere Angriffsszenarien zur drahtlosen Datenerfassung per RFID beschrieben. Wie der Amerikaner darlegt, könnte zum Beispiel ein Hacker einen RFID-markierten Artikel regulär im Supermarkt erstehen und den darauf angebrachten Transponder anschließend durch einen von ihm selbst programmierten ersetzen. Schmuggelt er die Ware mit der manipulierten Auszeichnung zurück in den Laden und legt sie erneut zur Bezahlung vor, kann er die Supermarkt-Software, die sonst nur digitale Preisschildchen übers RFID-Lesegerät auswerten muss, mit schädlichem Code infizieren.

In ihrer Studie mit dem Titel „Ist Ihre Katze durch einen Computer-Virus infiziert?“, ein Seitenhieb auf die in Haustiere injizierten Chips mit Informationen zum Besitzer, zeigen die Forscher auf, wie zum Beispiel Terroristen oder Schmuggler einen künftig mit RFID-Technik ausgestatteten Gepäck-Scanner im Flughafen manipulieren könnten. Allerdings werden auch Sicherheitsmaßnahmen gegen solche Angriffe aufgezeigt.