近日，來(lái)自荷蘭阿姆斯特丹的Vrije大學(xué)的一組計算機研究員宣稱(chēng)，他們已發(fā)現包括EPC標簽在內的RFID標簽可以被用來(lái)攜帶病毒，并對電腦系統造成攻擊。但是這種說(shuō)法卻不被RFID行業(yè)內的專(zhuān)家與行業(yè)組織認可，他們認為EPC組織早已在Gen 2的標簽和讀寫(xiě)器標準里加入了安全功能，這些荷蘭研究的那些讀寫(xiě)器和標簽是有很大不同的。那么，RFID標簽內是否可以攜帶病毒？EPC標簽是否安全？ 

     RFID軟件設計者一直認為被動(dòng)RFID標簽內的內存是如此小以至于不會(huì )受到安全威脅，但是Vrije大學(xué)的研究員宣稱(chēng)，他們的實(shí)驗展示了RFID系統中的中間件與應用軟件是很容易遭受到標簽病毒的攻擊。"一個(gè)標簽即使只有112個(gè)字節的存儲空間，但是它可以制造出緩沖溢出或SQL注入之類(lèi)的攻擊"該大學(xué)的計算機科學(xué)教授A(yíng)ndrew Tanenbaum說(shuō)。

     然而，該組織的結論立即遭受到RFID行業(yè)人士的反對。前麻省理工學(xué)院Auto-ID中心的執行負責人、現為T(mén)hingMagic的市場(chǎng)副總裁Kevin Ashton說(shuō)："一個(gè)典型的RFID標簽有96比特位內存的ID號碼，如果要造成攻擊，必須還需要更大內存的標簽和讀寫(xiě)器，而且還要有足夠笨和脆弱的系統來(lái)執行這些惡意代碼。"

     EPCGlobal 美國的產(chǎn)品負責人Sue Hutchinson 對此的反應是，EPC組織早已在Gen 2的標簽和讀寫(xiě)器標準里加入了安全功能，這些荷蘭研究的那些讀寫(xiě)器和標簽是有很大不同的。她認為Vrije大學(xué)的研究是很重要的，因為這些研究能夠使RFID行業(yè)保持對安全的高度關(guān)注與應對。她說(shuō)："我們已經(jīng)在EPC Gen 2協(xié)議里加入了很多前瞻性的安全設計"。她稱(chēng)其中很重要的一點(diǎn)是，電子標簽的內存可以被加鎖，并且只有那些經(jīng)過(guò)"認證"的讀寫(xiě)器可以對它寫(xiě)入數據，另外在通訊中還使用了類(lèi)似于握手信號的RF掩碼，所以相比于在研究中使用的入侵方法，入侵真正的RFID系統要艱難的多。

     根據荷蘭研究組織提供的論文，他們使用的是飛利浦的UHF I-Code SL1標簽，內部包含128字節可讀寫(xiě)內存。他們對標簽編寫(xiě)了多種病毒代碼，同時(shí)他們建立了一個(gè)實(shí)驗的RFID應用系統，系統內安裝了他們自己寫(xiě)的RFID中間件。測試開(kāi)始后，結果表明這些標簽可以攜帶多種病毒對RFID網(wǎng)絡(luò )的系統和中間件贊成攻擊，包括緩沖溢出和SQL注入攻擊。這些攻擊可能導致RFID應用服務(wù)器的后門(mén)。

     該組織承認，他們運用的是自己編寫(xiě)的RFID中間件，但是他們稱(chēng)商業(yè)中間件也可能存在這樣的漏洞。他們稱(chēng)這次實(shí)驗的目的是告知商業(yè)軟件的開(kāi)發(fā)者，RFID網(wǎng)絡(luò )是具有傳播病毒的能力和潛力，必須要及早注重安全性的開(kāi)發(fā)，不然等到安裝了大量的RFID系統并造成重大破壞的時(shí)候就已經(jīng)來(lái)不及了。

     該組織相信，使用可讀寫(xiě)的RFID標簽會(huì )有很大的風(fēng)險，一個(gè)有惡意代碼的標簽會(huì )造成更多的被感染標簽，這將引發(fā)一場(chǎng)混亂。比如說(shuō)在拉斯維加斯的McCarran機場(chǎng)，現在已應用了RFID標簽行李系統，假使系統感染了RFID標簽病毒，那么這些帶有RFID標簽的行李包裹將會(huì )被亂運到世界各地的其它機場(chǎng)。

     或許RFID標簽病毒攻擊的結論在理論上是可能的，但是"RFID行業(yè)是IT行業(yè)的一個(gè)分支，IT行業(yè)一直以來(lái)對安全是極端重視的，早在A(yíng)uto-ID中心的一些工作就已考慮到了安全隱患。"ThingMagic的副總裁Ashton說(shuō)。Ashton還指出，相比于PC系統，該組織的研究中存在一個(gè)問(wèn)題：RFID系統由中間件、應用軟件和數據庫系統組成，客戶(hù)定制的管理軟件控制了這幾個(gè)模塊。而RFID應用軟件都是唯一的，不象PC的桌面系統。也就是說(shuō)，攻擊者必須要很了解每一個(gè)獨立的應用系統的知識，而且這個(gè)系統內必須存在"笨突破口"。