Pesquisadores da Universidade de Luxemburgo descobriram uma falha no padrão de segurança de passaportes eletrônicos biométricos que tem sido usado em todo o mundo desde 2004. Este padrão, ICAO 9303, permite que os leitores de passaporte eletrônico em aeroportos digitalizem o chip dentro de um passaporte e identifiquem o titular.

A maioria dos passaportes hoje usa o padrão ICAO 9303, que é emitido pela Organização da Aviação Civil Internacional (ICAO). O padrão é projetado para garantir que a privacidade e a impossibilidade de vinculação do titular do passaporte sejam protegidas ao mais alto grau. A capacidade de não vinculação garante que um invasor não consiga distinguir se dois elementos estão intimamente relacionados.

Dr. Ross Horne, Prof. Sjouke Mauw, Ph.D. o candidato Zach Smith e o estudante de mestrado Ihor Filimonov testaram o padrão. Eles descobriram uma falha que permite que equipamentos específicos não autorizados acessem os dados do passaporte. "Com o dispositivo certo, você pode digitalizar passaportes nas proximidades e reidentificar titulares de passaportes observados anteriormente, acompanhando seus movimentos, "Dr. Horne explica." Assim, os titulares de passaportes não estão protegidos contra o rastreamento de seus movimentos por um observador não autorizado. "

Limites e implicações da falha

Um dispositivo não autorizado que escaneia um passaporte dentro de vários metros pode identificar e rastrear esse passaporte, mesmo que não possa ler o passaporte. Assim, a privacidade do titular do passaporte são vulneráveis ​​a ataques potenciais, mesmo que a falha não permita que os invasores leiam todas as informações de um determinado passaporte ou comprometam as informações biométricas armazenadas em um chip dentro do passaporte.

"Como a maioria dos passaportes hoje usa o mesmo padrão, esta falha de segurança tem potencialmente um impacto global, "continua o Dr. Horne. Na Europa, tal violação de segurança provavelmente viola os requisitos da estrutura de proteção de dados da UE. Os governos têm a responsabilidade de proteger a privacidade individual e garantir que os documentos oficiais sejam à prova de balas contra esses ataques.

A equipe de pesquisadores compartilhou os resultados dos testes com a ICAO em junho de 2019. Eles também descreveram várias abordagens para restaurar a proteção da privacidade, com base no pressuposto de que os fabricantes de leitores de passaportes eletrônicos devem assumir a responsabilidade de garantir a proteção da privacidade dos titulares de passaportes.

Os resultados do estudo, "Quebrando a Unlinkability do Padrão ICAO 9303 para passaportes eletrônicos usando bissimilaridade, "foram apresentados na terça-feira, 24 de setembro na ESORICS 2019, uma conferência de segurança de sistemas de alto nível na Europa.