アカウント名:
パスワード:
RFIDタグのデータ記述エリアが「バッファオーバーフロー」や「SQLインジェクション」といった攻撃に利用される可能性を指摘
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
そもそも (スコア:1)
RFIDタグの穴じゃなくてR/W以上のレベルならともかく。
基本的にタグはエリア単位のアクセスになるかと思いますが、
タグがそれ以上の応答を返す事を想定しろ、といっているように思います。
そんな規格レベルの抜け穴ならそう言うでしょうし、
大雑把過ぎてちょっと要点が見えないですね。
Re:そもそも (スコア:2, 参考になる)
MYCOM PC WEBの記事 [mycom.co.jp]では、実際にRFIDタグ上で動作するウィルスを作ったと読めますね。
これだとだいぶ話が違う…。
Re:そもそも (スコア:0)
パソコンじゃあるまいし,タグなんかに使われてる組み込みプロセッサのメモリはデータRAMとプログラムFLASHに分かれてて,データ送りつけるだけで簡単にFLASH書き込みなんか出来ないんだけど.
SQLインジェクション?
パソコンじゃあるまいし,タグなんかに使われてる組み込みプロセッサでそんなアプリが動くなんて聞いたことが無いんだけど.
いわゆるFLASHマイコンのプログラムが本当にそんな簡単に書き変わってしまうんだったら,業界を揺るがす大事件ですよ.
Re:そもそも (スコア:2, 参考になる)
RFIDタグ内のデータによってバッファオーバーフローやSQLインジェクションを起こすのは読書装置側のほうで、
乗っ取られた読書装置によって、他のRFIDタグにも同様のデータが書きこまれていくということでしょう。
RFIDタグ側のファームなんて書き換えられる必要がないのでは。
Re:そもそも (スコア:1)
>実際にRFIDタグ上で動作するウィルスを作った
確かに悪い。すいません。
Re:そもそも (スコア:1)
Re:そもそも (スコア:1)
可能性はあると言えるかもしれませんが、今回のような
タグ用途で有れば有り得ないでしょうね。
Re:そもそも (スコア:1)
データを返すべきところを256bit返して後ろの128bitが
読み取りシステムに何か影響を及ぼすとか。
そんなのはそもそも蹴られるか、切捨てられるかするでしょうし。
ウィルスというより、ダミーのデータを流す偽物タグを
つけておいて、他人の荷物を奪ったり、もしくは
他人の荷物になりすまして密輸するといったことのほうが
起こりそうな気がします。(特に後者)
#空港で他人に荷物を間違えてピックアップされたことがあるgesaku