Eine Konzeptstudie des Minix-Erfinders Andrew Tanenbaum über die Gefahr, RFID-Transponder könnten als Träger von Computerviren missbraucht werden, hat beim Interessenverband der RFID-Industrie AIM eine pikierte Stellungnahme hervorgerufen. Der Verband wisse das Bemühen der Universität Amsterdam zu würdigen, aber der Ansatz dieser speziellen Untersuchung sei doch recht fragwürdig, heißt es in einer Erklärung mit dem Titel "Ihre Katze ist sicher".
Tanenbaum selbst hatte das Motiv "Katze" als Aufhänger gewählt und sich auf die Tierheim-übliche RFID-Markierung von Haustieren bezogen. Sein hypothetisches Angriffsszenario ging davon aus, Hacker könnten ein manipuliertes Funk-Tag in ein Haustier injizieren, und wenn dieses etwa bei einem Tierarzt gelesen wird, schiebt es dessen Software per SQL-Injektion schädlichen Code unter. Von da ist es kein großer Schritt mehr bis zur Vorstellung, die infizierte Software könnte auch die Kodierung weiterer Haustier-Transponder kompromittieren. Nebenbei bemerkt ist dieses Risiko ausgeschlossen, weil Tierheime die zur Injektion vorgesehenen Transponder offenbar fertig beschrieben in einer Injektionsnadel angeliefert bekommen und überhaupt keine Gelegenheit haben, gefälschte Daten unters Tiervolk zu bringen.
AIM baut indes auf die Feststellung, dass ein Computervirus auf ausführbare Daten angewiesen ist, und führt aus, den meisten Systemen sei es gar nicht möglich, gelesene Daten als Programmcode zu interpretieren. Tanenbaum habe sich schlicht ein System mit Achillesferse konstruiert und diese dann ausgenutzt. Diese Argumentation trifft den Kern des Problems nicht. SQL-Injection ist eine verbreitete Angriffsmethode bei der Daten so eingeschleust werden, dass enthaltener Code zur Ausführung kommt. Viele Web-Applikationen waren oder sind immer noch anfällig für derartige Angriffe. Warum das bei der Middleware zum Einsatz von RFIDs nicht der Fall sein sollte, erklärt die AIM nicht (siehe dazu auch: SQL-Injection – Angriff und Abwehr auf heise Security).
Das Argument, Systeme mit nicht-beschreibbaren Tags seien immun gegen Computerviren, hat der Informatiker gleich im Voraus beantwortet: Wenn etwa ein Angreifer einen markierten Artikel im Laden kaufe, könne er ohne weiteres das nicht manipulierbare Tag durch ein selbstgeschriebenes ersetzen, in den Laden zurückschmuggeln und dort erneut auslesen lassen. Man kann das noch weiter spinnen: In einem Großmarkt, wo unter anderem Frischfleisch in Selbstbedienungspackungen abgefüllt wird, dürfte sehr wohl auch Hard- und Software zum Beschreiben neuer Tags im Einsatz sein. Sollte es jemandem gelingen, in diese Software einzugreifen, wäre Tanenbaums Beispielangriff durchaus denkbar.
(hps/c't)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/70988
Gr33ts
@Jacki:agl: