近日，來(lái)自荷蘭阿姆斯特丹的Vrije大學(xué)的一組計(jì)算機(jī)研究員宣稱(chēng)，他們已發(fā)現(xiàn)包括EPC標(biāo)簽在內(nèi)的RFID標(biāo)簽可以被用來(lái)攜帶病毒，并對(duì)電腦系統(tǒng)造成攻擊。但是這種說(shuō)法卻不被RFID行業(yè)內(nèi)的專(zhuān)家與行業(yè)組織認(rèn)可，他們認(rèn)為EPC組織早已在Gen 2的標(biāo)簽和讀寫(xiě)器標(biāo)準(zhǔn)里加入了安全功能，這些荷蘭研究的那些讀寫(xiě)器和標(biāo)簽是有很大不同的。那么，RFID標(biāo)簽內(nèi)是否可以攜帶病毒？EPC標(biāo)簽是否安全？ 

     RFID軟件設(shè)計(jì)者一直認(rèn)為被動(dòng)RFID標(biāo)簽內(nèi)的內(nèi)存是如此小以至于不會(huì)受到安全威脅，但是Vrije大學(xué)的研究員宣稱(chēng)，他們的實(shí)驗(yàn)展示了RFID系統(tǒng)中的中間件與應(yīng)用軟件是很容易遭受到標(biāo)簽病毒的攻擊。"一個(gè)標(biāo)簽即使只有112個(gè)字節(jié)的存儲(chǔ)空間，但是它可以制造出緩沖溢出或SQL注入之類(lèi)的攻擊"該大學(xué)的計(jì)算機(jī)科學(xué)教授Andrew Tanenbaum說(shuō)。

     然而，該組織的結(jié)論立即遭受到RFID行業(yè)人士的反對(duì)。前麻省理工學(xué)院Auto-ID中心的執(zhí)行負(fù)責(zé)人、現(xiàn)為T(mén)hingMagic的市場(chǎng)副總裁Kevin Ashton說(shuō)："一個(gè)典型的RFID標(biāo)簽有96比特位內(nèi)存的ID號(hào)碼，如果要造成攻擊，必須還需要更大內(nèi)存的標(biāo)簽和讀寫(xiě)器，而且還要有足夠笨和脆弱的系統(tǒng)來(lái)執(zhí)行這些惡意代碼。"

     EPCGlobal 美國(guó)的產(chǎn)品負(fù)責(zé)人Sue Hutchinson 對(duì)此的反應(yīng)是，EPC組織早已在Gen 2的標(biāo)簽和讀寫(xiě)器標(biāo)準(zhǔn)里加入了安全功能，這些荷蘭研究的那些讀寫(xiě)器和標(biāo)簽是有很大不同的。她認(rèn)為Vrije大學(xué)的研究是很重要的，因?yàn)檫@些研究能夠使RFID行業(yè)保持對(duì)安全的高度關(guān)注與應(yīng)對(duì)。她說(shuō)："我們已經(jīng)在EPC Gen 2協(xié)議里加入了很多前瞻性的安全設(shè)計(jì)"。她稱(chēng)其中很重要的一點(diǎn)是，電子標(biāo)簽的內(nèi)存可以被加鎖，并且只有那些經(jīng)過(guò)"認(rèn)證"的讀寫(xiě)器可以對(duì)它寫(xiě)入數(shù)據(jù)，另外在通訊中還使用了類(lèi)似于握手信號(hào)的RF掩碼，所以相比于在研究中使用的入侵方法，入侵真正的RFID系統(tǒng)要艱難的多。

     根據(jù)荷蘭研究組織提供的論文，他們使用的是飛利浦的UHF I-Code SL1標(biāo)簽，內(nèi)部包含128字節(jié)可讀寫(xiě)內(nèi)存。他們對(duì)標(biāo)簽編寫(xiě)了多種病毒代碼，同時(shí)他們建立了一個(gè)實(shí)驗(yàn)的RFID應(yīng)用系統(tǒng)，系統(tǒng)內(nèi)安裝了他們自己寫(xiě)的RFID中間件。測(cè)試開(kāi)始后，結(jié)果表明這些標(biāo)簽可以攜帶多種病毒對(duì)RFID網(wǎng)絡(luò)的系統(tǒng)和中間件贊成攻擊，包括緩沖溢出和SQL注入攻擊。這些攻擊可能導(dǎo)致RFID應(yīng)用服務(wù)器的后門(mén)。

     該組織承認(rèn)，他們運(yùn)用的是自己編寫(xiě)的RFID中間件，但是他們稱(chēng)商業(yè)中間件也可能存在這樣的漏洞。他們稱(chēng)這次實(shí)驗(yàn)的目的是告知商業(yè)軟件的開(kāi)發(fā)者，RFID網(wǎng)絡(luò)是具有傳播病毒的能力和潛力，必須要及早注重安全性的開(kāi)發(fā)，不然等到安裝了大量的RFID系統(tǒng)并造成重大破壞的時(shí)候就已經(jīng)來(lái)不及了。

     該組織相信，使用可讀寫(xiě)的RFID標(biāo)簽會(huì)有很大的風(fēng)險(xiǎn)，一個(gè)有惡意代碼的標(biāo)簽會(huì)造成更多的被感染標(biāo)簽，這將引發(fā)一場(chǎng)混亂。比如說(shuō)在拉斯維加斯的McCarran機(jī)場(chǎng)，現(xiàn)在已應(yīng)用了RFID標(biāo)簽行李系統(tǒng)，假使系統(tǒng)感染了RFID標(biāo)簽病毒，那么這些帶有RFID標(biāo)簽的行李包裹將會(huì)被亂運(yùn)到世界各地的其它機(jī)場(chǎng)。

     或許RFID標(biāo)簽病毒攻擊的結(jié)論在理論上是可能的，但是"RFID行業(yè)是IT行業(yè)的一個(gè)分支，IT行業(yè)一直以來(lái)對(duì)安全是極端重視的，早在Auto-ID中心的一些工作就已考慮到了安全隱患。"ThingMagic的副總裁Ashton說(shuō)。Ashton還指出，相比于PC系統(tǒng)，該組織的研究中存在一個(gè)問(wèn)題：RFID系統(tǒng)由中間件、應(yīng)用軟件和數(shù)據(jù)庫(kù)系統(tǒng)組成，客戶(hù)定制的管理軟件控制了這幾個(gè)模塊。而RFID應(yīng)用軟件都是唯一的，不象PC的桌面系統(tǒng)。也就是說(shuō)，攻擊者必須要很了解每一個(gè)獨(dú)立的應(yīng)用系統(tǒng)的知識(shí)，而且這個(gè)系統(tǒng)內(nèi)必須存在"笨突破口"。