I elektroniske pass finnes det en bildefil som kan manipuleres til å få passleserne til å ta kvelden.

Annonse


Passet kræsjer passkontrollen

Ikke overraskende er det den tyske hackeren Lukas Grunwald som nok en gang har funnet et hull i de nye passene som brukes både i Norge og i store deler av den vestlige verden.

Endrer JPEG-bilde

I fjor avdekket Grunwald hvordan det trådløse dataoverføringssystemet RFID (Radio Frequency Identification Data) kan manipuleres, slik at passene kan klones.

På årets DefCon-konferanse i Las Vegas demonstrerte Grunwald hvordan han ved å modifisere bildefilen som ligger i det elektroniske passet kunne få utstyret som leser passene til å kræsje.

Settes ut av spill

I tillegg til å foreligge i en utkriftsversjon ligger også bildet av passets eier i brikken som er gravert inn i passet. Disse bildene er basert på JPEG2000-standarden.

Annonse


Ved å legge inn en fiendtlig kode i bildeinformasjonen kan passleserne settes ut av spill. Og – som Grunwald påpeker – elektronikk som settes ut av spill kan også manipulreres til å gjøre ting som en ondsinnet person ønsker.

Lett å lure

Man kan for eksempel tenke seg at en smart kode lurer passleserne til å tro at det dreier seg om en annen person enn den virkelige passeieren. Alternativt at det ikke blir slått alarm på toss av at passet finnes i politiets databaser over ettersøkte personer.

I sitt foredrag brukte også Grunwald mye tid på å forklare hvorfor biometriske data på avveie er mye skumlere enn passord og sifere som kommer på gale hender. Om noen for eksempel får tilgang til fingeravtrykket ditt, vil vedkommende ha tilgang til alt du har tilgang til.

Fingeren ikke trygg

Mens man kan bytte passord, kan man ikke bytte finger…

Japanske forskere har tidligere vist at det er enkelt å lage avstøpninger av fingeravtrykk ved å bruke avtrykk som er satt igjen på glassoverflater. Ved hjelp av gelatin kan hvem som helst lage en kunstig finger og bruke denne til å åpne dører, få adgang til PCer – og kanskje også passere passkontrolen.

Kilde:
Wired.com

Annonse