Reverse Engineering and Security Evaluation of Commercial Tags for RFID-Based IoT Applications
| Autor: | Paula Fraga-Lamas, Luis Castedo, Manuel Suárez-Albela, Tiago M. Fernández-Caramés |
|---|---|
| Jazyk: | angličtina |
| Rok vydání: | 2016 |
| Předmět: |
Rfid
Mifare Reverse engineering Engineering IoT Iso/iec 11784 Smart objects Access control 02 engineering and technology security Iso/iec 11785 lcsh:Chemical technology Communications security Computer security computer.software_genre 01 natural sciences Biochemistry Article Analytical Chemistry ISO/IEC 11785 0202 electrical engineering electronic engineering information engineering Radio-frequency identification lcsh:TP1-1185 ISO/IEC 11784 RFID pentesting ISO/IEC 14443 MIFARE Electrical and Electronic Engineering Instrumentation Iot Iso/iec 14443 business.industry 010401 analytical chemistry Pentesting 020206 networking & telecommunications Atomic and Molecular Physics and Optics 0104 chemical sciences Identification (information) Security Clone (computing) Communications protocol business computer |
| Zdroj: | Sensors (Basel, Switzerland) Sensors, Vol 17, Iss 1, p 28 (2016) Sensors; Volume 17; Issue 1; Pages: 28 RUC. Repositorio da Universidade da Coruña instname |
| ISSN: | 1424-8220 |
| Popis: | [Abstract], The Internet of Things (IoT) is a distributed system of physical objects that requires the seamless integration of hardware (e.g., sensors, actuators, electronics) and network communications in order to collect and exchange data. IoT smart objects need to be somehow identified to determine the origin of the data and to automatically detect the elements around us. One of the best positioned technologies to perform identification is RFID (Radio Frequency Identification), which in the last years has gained a lot of popularity in applications like access control, payment cards or logistics. Despite its popularity, RFID security has not been properly handled in numerous applications. To foster security in such applications, this article includes three main contributions. First, in order to establish the basics, a detailed review of the most common flaws found in RFID-based IoT systems is provided, including the latest attacks described in the literature. Second, a novel methodology that eases the detection and mitigation of such flaws is presented. Third, the latest RFID security tools are analyzed and the methodology proposed is applied through one of them (Proxmark 3) to validate it. Thus, the methodology is tested in different scenarios where tags are commonly used for identification. In such systems it was possible to clone transponders, extract information, and even emulate both tags and readers. Therefore, it is shown that the methodology proposed is useful for auditing security and reverse engineering RFID communications in IoT applications. It must be noted that, although this paper is aimed at fostering RFID communications security in IoT applications, the methodology can be applied to any RFID communications protocol. [Resumen], La Internet de las cosas (IoT) es un sistema distribuido de objetos físicos que requiere la integración perfecta de hardware (por ejemplo, sensores, actuadores, electrónica) y comunicaciones de red con el fin de recopilar e intercambiar datos. IoT objetos inteligentes deben identificarse de alguna manera para determinar el origen de los datos y para detectar automáticamente los elementos que nos rodean. Una de las tecnologías mejor posicionadas para realizar la identificación es RFID (Radio Frequency Identification), que en los últimos años ha ganado mucha popularidad en aplicaciones como control de acceso, tarjetas de pago o logística. A pesar de su popularidad, la seguridad RFID no ha sido manejada correctamente en numerosas aplicaciones. Para fomentar la seguridad en tales aplicaciones, este artículo incluye tres contribuciones principales. En primer lugar, para establecer los fundamentos, se proporciona una revisión detallada de las fallas más comunes encontradas en los sistemas IoT basados en RFID, incluyendo los últimos ataques descritos en la literatura. En segundo lugar, se presenta una metodología novedosa que facilita la detección y mitigación de tales defectos. En tercer lugar, se analizan las últimas herramientas de seguridad RFID y se aplica la metodología propuesta a través de una de ellas (Proxmark 3) para validarla. Por lo tanto, la metodología se prueba en diferentes escenarios donde las etiquetas se utilizan comúnmente para la identificación. En tales sistemas era posible clonar transpondedores, extraer información e incluso emular tanto las etiquetas como los lectores. Por lo tanto, se muestra que la metodología propuesta es útil para la auditoría de la seguridad y la ingeniería inversa RFID comunicaciones en aplicaciones IoT. Cabe señalar que, aunque este documento tiene como objetivo fomentar la seguridad de las comunicaciones RFID en aplicaciones IoT, la metodología puede aplicarse a cualquier protocolo de comunicaciones RFID. Ministerio de Economía y Competitividad. TEC2013-47141-C4-1-R Ministerio de Economía y Competitividad. TEC2016-75067-C4-1-R |
| Databáze: | OpenAIRE |
| Externí odkaz: |
|