5.4 芯片克隆—欺诈
如果象沃尔玛这样的公司还有什么想做的就是,最终在所有的商品的包装上都加贴RFID标签。对产品实施RFID的努力源于实现供应链的平滑管理的目标,包括增加顾客便利、威慑小偷等方面。伴随着这些宏伟的目标,在你的商业环境中使用RFID在也可能会造成灾难性的后果。
商店具备通过按按钮来整理库存的能力,顾客能够通过安装在手推车上的某个自动装置或PDA来获取更多的关于产品的信息。这是思想家多年来的梦想。
几年前,欧洲的Metro商品连锁店,对设想中的“未来商店”的技术和概念作了一次测试性的尝试。Metro和其合作伙伴想测试一些被认为是未来商店的一些概念,包括在每一件商品上使用RFID技术。
这个商店建在德国莱茵伯格的一个中档郊区,名为“未来商店”。这个新的商店是未研究新的可用于整个工业技术的孵化器。他们主要是把客户看成是豚鼠来测试新技术。参阅http://www.future-store.org。
在商店使用的RFID标签用于四种产品上:洗发液、剃须刀、奶酪、DVD。每一件商品都单独带有13.56MHz的标签,在货架上装有RFID阅读器用于管理库存。当DVD经过阅读器时,系统将自动记录这个过程。
未来商店的RFID标签具有唯一的只读ID,该ID是在制造过程中编程的。该芯片业带有一个很小的用于保存EPC代码的可写存储空间,其目的是用来识别商品种类。通过标签上的不同EPC号码,商店能够采用同一种标签来标注不同的产品。通过这种方法,货架上的阅读器能够区分出洗发液和剃须刀。
为了打消人们对个人隐私的疑虑,商店提供了一种名为“钝化”处理从而使标签失效的方法,这种方法将使所有商品上的标签离开商店后失效。商店的宣传册上也说明RFID标签离开商店后将不能工作。
2003年,德国的个人组织,FoeBuD和CASPIAN的奠基人和总裁恺塞琳阿尔伯特(Katherine Albrecht)参观了未来商店,他们由Metro的执行总裁陪同并充分阐述了应用RFID的好处,打消人们对RFID的疑虑。
2004年,在拉斯维加斯的一次黑帽子安全会议上,Lukas Grunwald做了一个关于RFID和其可能的新的安全攻击的报告。他的报告的测试环境是莱茵伯格的未来商店。他公布了一个他开发的用在带有RFID阅读器的IPAQ PDA上的名为“RF垃圾”的程序。使用该程序,能够扫描未来商店的商品。他发现的最有趣的现象是已经钝化失效了的标签只能在EPC区写入零。这使他想到既然标签在商店外可以被重写,那么在商店内也是可以被写入数据的。应用自己的软件,他能够重新在商品标签上的EPC数据区进行数据改写,并把剃须刀变成奶酪。如果把25美金的DVD变为0.3美金的口香糖,那DVD将突然变成亏本大甩卖。通过自助收银系统时,如果没有人的干预是很难发现这种差异的。
钝化技术用来解决人们对隐私权的顾虑而被大力推广,而最终发现并不是完全适合的。当商品放置在自助服务机上时,EPC区数据被改写为零,而产品序列号没有发生任何变化,使标签处于可操作状态,并保持完整的序列号的存在。由此看来,未来商店所声称的标签在商店外不工作的说法完全是夸大其词。隐私权保护主义者用现有设备可以读取标签ID,即便是离开商店很长时间之后。
在货架上可以对标签数据进行改写对那些旨在偷盗某一商品的人来说是明显的暗示。但假如你把所有的奶酪都改写为剃须刀,将会发生什么情况呢?货架上的阅读器将发现该变化,了解这里没有奶酪,因此在奶酪满架的情况下仍然会补充一些奶酪过来。阅读器只能读标签,这在供应链管理上将造成很大困难。
FoeBuD和CASPIAN在www.spychips.com网站上公布了他们的发现并在欧洲大肆宣传了他们的研究成果。他们的主要发现之一是商店的会员卡都含有RFID标签,而标签的使用及其目的从来没有告诉过顾客。商店管理者解释说这样做的目的是为了防止未成年人购买R-级的音像制品卡。他们没有成功的向顾客作出合理的解释,遭受到了很多非议。
抗议和抵制迫使该公司将原来的带有RFID的会员卡替换为无RFID的会员卡。他们也警告其他零售商在使用RFID时必须予以事先说明。
