近日，來自荷蘭阿姆斯特丹的Vrije大學(xué)的一組計算機研究員宣稱，他們已發(fā)現(xiàn)包括EPC標簽在內(nèi)的RFID標簽可以被用來攜帶病毒，并對電腦系統(tǒng)造成攻擊。但是這種說法卻不被RFID行業(yè)內(nèi)的專家與行業(yè)組織認可，他們認為EPC組織早已在Gen 2的標簽和讀寫器標準里加入了安全功能，這些荷蘭研究的那些讀寫器和標簽是有很大不同的。那么，RFID標簽內(nèi)是否可以攜帶病毒？EPC標簽是否安全？ RFID技術(shù)是否會引發(fā)一場新的災(zāi)難？請聽聽RFID世界網(wǎng)為你摘錄的該事件報道，以及RFID行業(yè)人士對此的反應(yīng)。

RFID軟件設(shè)計者一直認為被動RFID標簽內(nèi)的內(nèi)存是如此小以至于不會受到安全威脅，但是Vrije大學(xué)的研究員宣稱，他們的實驗展示了RFID系統(tǒng)中的中間件與應(yīng)用軟件是很容易遭受到標簽病毒的攻擊。“一個標簽即使只有112個字節(jié)的存儲空間，但是它可以制造出緩沖溢出或SQL注入之類的攻擊”該大學(xué)的計算機科學(xué)教授Andrew Tanenbaum說。

然而，該組織的結(jié)論立即遭受到RFID行業(yè)人士的反對。前麻省理工學(xué)院Auto-ID中心的執(zhí)行負責(zé)人、現(xiàn)為ThingMagic的市場副總裁Kevin Ashton說：“一個典型的RFID標簽有96比特位內(nèi)存的ID號碼，如果要造成攻擊，必須還需要更大內(nèi)存的標簽和讀寫器，而且還要有足夠笨和脆弱的系統(tǒng)來執(zhí)行這些惡意代碼。”

EPCGlobal 美國的產(chǎn)品負責(zé)人Sue Hutchinson 對此的反應(yīng)是，EPC組織早已在Gen 2的標簽和讀寫器標準里加入了安全功能，這些荷蘭研究的那些讀寫器和標簽是有很大不同的。她認為Vrije大學(xué)的研究是很重要的，因為這些研究能夠使RFID行業(yè)保持對安全的高度關(guān)注與應(yīng)對。她說：“我們已經(jīng)在EPC Gen 2協(xié)議里加入了很多前瞻性的安全設(shè)計”。她稱其中很重要的一點是，電子標簽的內(nèi)存可以被加鎖，并且只有那些經(jīng)過“認證”的讀寫器可以對它寫入數(shù)據(jù)，另外在通訊中還使用了類似于握手信號的RF掩碼，所以相比于在研究中使用的入侵方法，入侵真正的RFID系統(tǒng)要艱難的多。

根據(jù)荷蘭研究組織提供的論文，他們使用的是飛利浦的UHF I-Code SL1標簽，內(nèi)部包含128字節(jié)可讀寫內(nèi)存。他們對標簽編寫了多種病毒代碼，同時他們建立了一個實驗的RFID應(yīng)用系統(tǒng)，系統(tǒng)內(nèi)安裝了他們自己寫的RFID中間件。測試開始后，結(jié)果表明這些標簽可以攜帶多種病毒對RFID網(wǎng)絡(luò)的系統(tǒng)和中間件贊成攻擊，包括緩沖溢出和SQL注入攻擊。這些攻擊可能導(dǎo)致RFID應(yīng)用服務(wù)器的后門。

該組織承認，他們運用的是自己編寫的RFID中間件，但是他們稱商業(yè)中間件也可能存在這樣的漏洞。他們稱這次實驗的目的是告知商業(yè)軟件的開發(fā)者，RFID網(wǎng)絡(luò)是具有傳播病毒的能力和潛力，必須要及早注重安全性的開發(fā)，不然等到安裝了大量的RFID系統(tǒng)并造成重大破壞的時候就已經(jīng)來不及了。

該組織相信，使用可讀寫的RFID標簽會有很大的風(fēng)險，一個有惡意代碼的標簽會造成更多的被感染標簽，這將引發(fā)一場混亂。比如說在拉斯維加斯的McCarran機場，現(xiàn)在已應(yīng)用了RFID標簽行李系統(tǒng)，假使系統(tǒng)感染了RFID標簽病毒，那么這些帶有RFID標簽的行李包裹將會被亂運到世界各地的其它機場。

該組織的論文名稱是“ Is Your Cat Infected With a Computer Virus?”，現(xiàn)可在該組織的網(wǎng)站www.rfidvirus.org上獲取。

或許RFID標簽病毒攻擊的結(jié)論在理論上是可能的，但是“RFID行業(yè)是IT行業(yè)的一個分支，IT行業(yè)一直以來對安全是極端重視的，早在Auto-ID中心的一些工作就已考慮到了安全隱患。”ThingMagic的副總裁Ashton說。Ashton還指出，相比于PC系統(tǒng)，該組織的研究中存在一個問題：RFID系統(tǒng)由中間件、應(yīng)用軟件和數(shù)據(jù)庫系統(tǒng)組成，客戶定制的管理軟件控制了這幾個模塊。而RFID應(yīng)用軟件都是唯一的，不象PC的桌面系統(tǒng)。也就是說，攻擊者必須要很了解每一個獨立的應(yīng)用系統(tǒng)的知識，而且這個系統(tǒng)內(nèi)必須存在“笨突破口”。