Onderzoekers van de Universiteit van Luxemburg hebben sinds 2004 wereldwijd een fout ontdekt in de biometrische paspoorten (e-paspoorten). Met deze norm, ICAO 9303, kunnen e-paspoortlezers op luchthavens de chip in een paspoort scannen en via de chip identificeren.
De meeste paspoorten gebruiken tegenwoordig de standaard ICAO 9303, die wordt uitgegeven door de Internationale Burgerluchtvaartorganisatie (ICAO).
De standaard is ontworpen om ervoor te zorgen dat de privacy en ontkoppelbaarheid van de paspoorthouder maximaal wordt beschermd. Unlinkability zorgt ervoor dat een aanvaller geen onderscheid kon maken als twee elementen nauw met elkaar verbonden zijn.
Dr. Ross Horne, prof. Sjouke Mauw, promovendus Zach Smith en masterstudent Ihor Filimonov testten de norm. Ze ontdekten een fout waardoor specifieke niet-geautoriseerde apparatuur toegang heeft tot paspoortgegevens.
“Met het juiste apparaat kunt u paspoorten in de directe omgeving scannen en eerder waargenomen paspoorthouders opnieuw identificeren, waarbij ze hun bewegingen volgen”, legt Dr. Horne uit. “Dus paspoorthouders worden niet beschermd tegen het laten volgen van hun bewegingen door een onbevoegde waarnemer.”
Beperkingen en implicaties van de fout
Een ongeautoriseerd apparaat dat een paspoort binnen enkele meters scant, kan dat paspoort identificeren en bijhouden, ook al kan het het paspoort niet lezen. De privacy van de paspoorthouder is dus kwetsbaar voor mogelijke aanvallen, ook al kunnen aanvallers niet alle informatie uit een bepaald paspoort lezen of biometrische informatie die is opgeslagen in een chip in het paspoort in gevaar brengen.
“Aangezien de meeste paspoorten tegenwoordig dezelfde standaard gebruiken, heeft deze beveiligingsfout mogelijk een wereldwijde impact”, vervolgt Dr. Horne. In Europa is een dergelijke inbreuk op de beveiliging waarschijnlijk in strijd met de vereisten van het EU-kader voor gegevensbescherming. Regeringen hebben de verantwoordelijkheid om de individuele privacy te beschermen en ervoor te zorgen dat officiële documenten kogelvrij zijn tegen dergelijke aanvallen.
Het team van onderzoekers deelde hun testresultaten met ICAO in juni 2019. Ze schetsten ook verschillende benaderingen voor het herstellen van de privacybescherming, gebaseerd op de veronderstelling dat de fabrikanten van e-paspoortlezers de verantwoordelijkheid moeten nemen om de privacybescherming van paspoorthouders te waarborgen.
JDreport.com publiceert verhalen uit een flink aantal andere "onafhankelijke" nieuwsbronnen, blogs en wat al niet meer.
De meningen in dit artikel zijn van de bron en weerspiegelen niet JDreport.com.
Wanneer je voor de eerste keer inlogt met een Social Login-knop, verzamelen wij van je account openbare profielinformatie gedeeld door de Social login provider, op basis van je privacy-instellingen. We krijgen ook je e-mailadres om automatisch een account voor je aan te maken op onze site. Zodra je account is aangemaakt, ben je ingelogd op dit account.
Niet akkoordAkkoord
Maak verbinding met
Ik sta toe om een account aan te maken
Wanneer je voor de eerste keer inlogt met een Social Login-knop, verzamelen wij van je account openbare profielinformatie gedeeld door de Social login provider, op basis van je privacy-instellingen. We krijgen ook je e-mailadres om automatisch een account voor je aan te maken op onze site. Zodra je account is aangemaakt, ben je ingelogd op dit account.
