RSA 2016セキュリティアナリストの Jerry Gamblin 氏は、ホテルのタオルを RSA のサンフランシスコカンファレンスのパスに変えました。
ガンブリン氏によると、ホテルのタオルには在庫管理用の RFID チップが組み込まれていることが多く、ハッカーは Proxmark を使用することで、RSA 入場パスの NFC チップに保存されている固有の識別番号を簡単にコピーして貼り付け、別のデバイスに埋め込むことができるという。
つまり、誰でも売り切れたカンファレンスの 2,000 ドルのパスを複製して、セッションや展示フロアに入場できるということです。
「近距離無線通信は、このような用途で使われることを想定して書かれたものではありません。スーパーマーケットのスキャナーなどで使われることを想定したものです」とガンブリン氏(@jgamblin)はVulture Southに語った。
「私が持っている空の MiFare カードに RSA タグを貼り付けてスキャンすれば、どこからでもアクセスできるようになります。
ジェリー・ガンブリン。
「タオルを持たずに家を出ないでください。」
ガンブリン氏は、RSA に「姿を現す」つもりはなく、可能ではあってもタオルを持ってスキャンするつもりはない、と述べている。
しかし、他の会議ヒッチハッカーなら簡単にそうすることができるだろう。
MIFARE Ultralight C には脆弱性はなく、悪用される可能性があるのは技術の選択によるものだと Gamblin 氏は言う。
彼は、カンファレンスの終了時にカードのクローン作成に関するガイドを更新する予定です。
画像: ジェリー・ガンブリン。
®
