I ricercatori dell'Università del Lussemburgo hanno scoperto un difetto nello standard di sicurezza dei passaporti elettronici biometrici che è stato utilizzato in tutto il mondo dal 2004. Questo standard, ICAO 9303, consente ai lettori di passaporto elettronico negli aeroporti di scansionare il chip all'interno di un passaporto e identificare il titolare.

La maggior parte dei passaporti oggi utilizza lo standard ICAO 9303, rilasciato dall'Organizzazione internazionale dell'aviazione civile (ICAO). Lo standard è progettato per garantire la massima protezione della privacy e dell'impossibilità di collegamento del titolare del passaporto. L'unlinkability assicura che un utente malintenzionato non possa distinguere se due elementi sono strettamente correlati.

Dottor Ross Horne, Prof. Sjouke Mauw, dottorato di ricerca il candidato Zach Smith e lo studente Master Ihor Filimonov hanno testato lo standard. Hanno scoperto un difetto che consente a specifiche apparecchiature non autorizzate di accedere ai dati del passaporto. "Con il dispositivo giusto, è possibile scansionare i passaporti nelle immediate vicinanze e identificare nuovamente i titolari di passaporti osservati in precedenza, tenere traccia dei loro movimenti, "Il dottor Horne spiega. "Così, i titolari di passaporto non sono protetti contro la tracciabilità dei loro movimenti da parte di un osservatore non autorizzato".

Limiti e implicazioni del difetto

Un dispositivo non autorizzato che esegue la scansione di un passaporto entro diversi metri può identificare e tenere traccia di quel passaporto, anche se non può leggere il passaporto. Così, la privacy del titolare del passaporto sono vulnerabili a potenziali attacchi, anche se il difetto non consente agli aggressori di leggere tutte le informazioni da un determinato passaporto o di compromettere le informazioni biometriche memorizzate in un chip all'interno del passaporto.

"Poiché la maggior parte dei passaporti oggi utilizza lo stesso standard, questa falla di sicurezza ha potenzialmente un impatto globale, " continua il dottor Horne. In Europa, una tale violazione della sicurezza probabilmente viola i requisiti del quadro dell'UE sulla protezione dei dati. I governi hanno la responsabilità di proteggere la privacy individuale e di garantire che i documenti ufficiali siano a prova di proiettile contro tali attacchi.

Il team di ricercatori ha condiviso i risultati dei test con l'ICAO nel giugno 2019. Hanno anche delineato diversi approcci per ripristinare la protezione della privacy, partendo dal presupposto che i produttori di lettori di passaporti elettronici debbano assumersi la responsabilità di garantire la tutela della privacy dei titolari di passaporti.

I risultati dello studio, "Rompere l'unlinkability dello standard ICAO 9303 per i passaporti elettronici che utilizzano la bisimilarità, " sono stati presentati martedì 24 settembre a ESORICS 2019, una conferenza di alto livello sulla sicurezza dei sistemi in Europa.