Когда метка передает данные устройству считывания сигнала или тот сам запрашивает у нее информацию, посылка данных ведется посредством ра­диоволн. При этом обмене данные остаются незащищенными. К числу атак с использованием уязвимости такого беспроводного соединения относятся следующие:

• Хищение данных через неавторизованный считыватель. В этом случае неавторизованный считыватель просто выполняет перехват данных, которые передает метка.

• Блокировка отсылки данных третьими лицами. Чтобы не допус­тить связь метки и устройства считывания сигнала, неавторизован­ная сторона может использовать целый ряд методов. Один из часто применяемых — спуфинг — порождает электромагнитные помехи, перегружая считыватель таким количеством ложных запросов меток, что лишает его возможности выделить запросы, которые являются легитимными. Этот метод атаки также известен как «отказ от об­служивания».

• Передача данных подложными метками. Подложная радиометка передает на считыватель ненужную или ошибочную информацию, фактически «обманывая» систему RFID и вынуждая ее принимать, обрабатывать и реагировать на некорректные сведения.

Уязвимость данных в устройстве считывания сигнала

Когда метка ведет передачу данных на считыватель, тот сохраняет их в сво­ей памяти и прежде, чем удалить данные и/или отправить их на компьютер - хост, использует их для выполнения ряда функций. В процессе работы счи­тыватель ведет себя как любой прочий компьютер, имеющий традиционные уязвимости и проблемы. Сегодня большая часть считывателей на рынке вхо­дит в разряд закрытых, лишенных интерфейса, который позволил бы развить функции безопасности за рамки возможностей, которые предоставил по­ставщик компонента. Это ограничение делает тщательный подбор устрой­ства считывания сигнала особенно важным.

Уязвимость хост-компьютера

После переноса данных с метки через считыватель на хост они подвержены тем видам атак, которые уже присущи уровню самого хоста. Их рассмот­рение выходит за рамки книги, поэтому заинтересованному читателю мы советуем обратиться к соответствующей литературе по теме компьютерной или сетевой безопасности.