或許電腦黑客們已經發(fā)現(xiàn)了下一個戰(zhàn)場?？梢栽O想一位黑客進入一家商店，購買了一個貼有“電子標簽”（RFID）的罐頭并將其帶回了家；接著他撕下標簽并貼上另一個包含了惡意代碼的標簽；他回到商店并讓收銀臺重新掃描一下這件商品；這樣惡意代碼就進入了商店的電腦系統(tǒng)，更改產品的價格和銷售數(shù)據(jù)，并創(chuàng)建一個登錄口允許外部訪問者進入商店的數(shù)據(jù)庫。  

    荷蘭阿姆斯特丹自由大學的計算機教授Andrew Tanenbaum稱，這不是黑客的技術而是RFID本身的漏洞造成的。3月15日他在一篇論文上闡述了為什么確信會發(fā)生這種事情的原因。然而RFID標簽、掃描儀和相關軟件的銷售商們，對Tanenbaum的末日審判迅速進行了反擊。RFID設備生產商Symbol Technologies公司副總裁、RFID標簽業(yè)務部總經理Larry Blue稱，這只是理論上的猜測在實際操作中幾乎是不可能的，因為在芯片設計和相關系統(tǒng)軟件開發(fā)上已經進行了嚴格的安全檢測。目前全球RFID標簽的使用正日益普及，這種“電子標簽”可幫助企業(yè)跟蹤已出貨的商品。 

    微型電腦 

    但在操作系統(tǒng)研究上卓有成就的Tanenbaum稱，他帶的一位研究生只用了四個小時就編寫出一個可運行在他所在實驗室裝配的標準RFID設備上的病毒程序。他表示，這為我們敲響了警鐘，現(xiàn)在到了該為加強RFID安全進行投資的時候了。他已經向SAP和甲骨文等RFID數(shù)據(jù)庫銷售商們提出了他的意見。 

    Tanenbaum也不是唯一看到此問題的專家，其他的研究人員也發(fā)現(xiàn)很多RFID裝置，從貼在商品上的芯片到讀取標簽信息并將信息傳輸?shù)綌?shù)據(jù)庫的掃描儀都存在缺陷。他們擔心未來數(shù)月內與RFID有關的病毒及黑客攻擊可能會快速上升。管理安全服務商Counterpane Internet Security公司的首席技術官Bruce Schneier表示，一塊RFID芯片就是一臺微型電腦，只是沒有屏幕和鍵盤但可通過無線電與外界取得聯(lián)系；RFID也可能不會被黑，但如果是這樣的話它將是計算機歷史上第一種不會被黑的電腦。 

    但如果科學家們的擔心是成立的，那么這種影響將不會僅僅是出現(xiàn)在住宅區(qū)的商店里。RFID可用于廣泛的領域，從尋找寵物到購買汽油，從沃爾瑪?shù)矫绹鴩啦??？萍甲稍児続BI Research的分析師Erik Michielsen稱，今天全球使用的RFID標簽數(shù)以億計，7年后將數(shù)以百億計。到那時RFID芯片的使用將超過其他所有類型的電腦，從PC到手機芯片的總和。  

    輕而易舉 

    對RFID黑客來說存在一個日益增長的金錢誘惑，因為在信用卡支付和其他金融交易中越來越多地使用了RFID標簽。Counterpane公司的Schneier預計，它將成為一個很嚴重的問題。如萬事達卡公司準備采用RFID技術推出一種無接觸支付手段。這種PayPass卡只需在掃描儀上掠過就可完成交易，全球已經有25000家商店接受了這種支付方式。而摩托羅拉等手機生產商也正在考慮將無接觸支付應用到主流手機上。 

    隨著RFID芯片的功能越來越復雜，它們受到攻擊的危險也越高。約翰-霍普金斯大學信息安全研究所的技術主管和計算機教授Ari Rubin稱，新一代電腦通常更復雜、功能更多，引發(fā)的安全問題日益突出，另外其他行業(yè)也顯示，每出一代產品都會出現(xiàn)新的安全問題。根據(jù)去年發(fā)表的一份報告，Rubin和他的學生已經破解了超過1.5億個安裝了RFID系統(tǒng)的汽車鑰匙，和超過600萬個購買汽油的鑰匙扣的密碼。為破解密碼他們將16塊芯片連接起來并進行編程，找出標簽上包含的密碼，而這個過程只花了15分鐘的時間。 

    缺乏電源 

    Rubin斷言，雖然最近也進行了一些改進，但大多數(shù)RFID芯片依然很容易被破解。其中一個原因是：最廉價和最流行的RFID芯片都沒有電池，事實上它們是在掃描時由讀卡機提供能量。Rubin認為這限制了芯片可設置密碼的數(shù)量。由于缺乏自己的動力系統(tǒng)，這種芯片也容易受到“能耗途徑竊取”（power-consumption hack）的攻擊。 

    Weizmann Institute of Science的計算機教授Adi Shamir曾在2月宣布，他和他的一位學生已經能侵入某個RFID標簽并開發(fā)出相應的密碼殺手----一種可使標簽自毀的代碼。通過監(jiān)控標簽的能耗過程研究人員推導出了密碼。（推導過程是，接收到讀卡機傳來的不正確數(shù)據(jù)時，標簽的能耗會上升）。研究人員只用了3個小時就開發(fā)出了標簽的殺手代碼。他們表示，雖然使用的標簽已經過時，但即使是去年下半年上市的最新產品也存在類似的問題，只需如手機一樣簡單的工具就可侵入RFID標簽。 

    領先一步？ 

    當然用于大額金融交易的新芯片具有更多的安全功能，例如可調整到只能在數(shù)英寸的短距離內讀取數(shù)據(jù)，這可防止黑客在購物者通過附近的付款線時讀取RFID的信息。它們也包含了更多的加密功能（自然價格更昂貴，每個標簽的價格在4美元或以上，而普通的RFID標簽只需20美分）。 

    但RFID行業(yè)人士表示，他們的技術正在快速改進。Gen 2（第二代）RFID標簽已經不通過無線發(fā)送號碼，并能鎖定密碼而不會被更改。對于將安全放在第一位的應用，更昂貴和更智能化的標簽可提供更高的安全性。德儀（TI）公司副總裁和RFID系統(tǒng)部門總經理Julie England稱，安全措施需要按照任務分解方式進行配置。因此藥瓶上的RFID標簽要比紙毛巾上的標簽更為安全。正在制定供應鏈行業(yè)RFID標準的EPCglobal（全球產品電子代碼管理中心），也在跟蹤調查安全問題。該機構的行業(yè)應用部門主管Sue Hutchinson稱，他們相信這些標簽是非常安全的，但學術論文也提醒他們需要繼續(xù)加強RFID的安全性。