近日，來自荷蘭阿姆斯特丹的Vrije大學的一組計算機研究員宣稱，他們已發現包括EPC標簽在內的RFID標簽可以被用來攜帶病毒，并對電腦系統造成攻擊。但是這種說法卻不被RFID行業內的專家與行業組織認可，他們認為EPC組織早已在Gen 2的標簽和讀寫器標準里加入了安全功能，這些荷蘭研究的那些讀寫器和標簽是有很大不同的。那么，RFID標簽內是否可以攜帶病毒？EPC標簽是否安全？ 

     RFID軟件設計者一直認為被動RFID標簽內的內存是如此小以至于不會受到安全威脅，但是Vrije大學的研究員宣稱，他們的實驗展示了RFID系統中的中間件與應用軟件是很容易遭受到標簽病毒的攻擊。"一個標簽即使只有112個字節的存儲空間，但是它可以制造出緩沖溢出或SQL注入之類的攻擊"該大學的計算機科學教授Andrew Tanenbaum說。

     然而，該組織的結論立即遭受到RFID行業人士的反對。前麻省理工學院Auto-ID中心的執行負責人、現為ThingMagic的市場副總裁Kevin Ashton說："一個典型的RFID標簽有96比特位內存的ID號碼，如果要造成攻擊，必須還需要更大內存的標簽和讀寫器，而且還要有足夠笨和脆弱的系統來執行這些惡意代碼。"

     EPCGlobal 美國的產品負責人Sue Hutchinson 對此的反應是，EPC組織早已在Gen 2的標簽和讀寫器標準里加入了安全功能，這些荷蘭研究的那些讀寫器和標簽是有很大不同的。她認為Vrije大學的研究是很重要的，因為這些研究能夠使RFID行業保持對安全的高度關注與應對。她說："我們已經在EPC Gen 2協議里加入了很多前瞻性的安全設計"。她稱其中很重要的一點是，電子標簽的內存可以被加鎖，并且只有那些經過"認證"的讀寫器可以對它寫入數據，另外在通訊中還使用了類似于握手信號的RF掩碼，所以相比于在研究中使用的入侵方法，入侵真正的RFID系統要艱難的多。

     根據荷蘭研究組織提供的論文，他們使用的是飛利浦的UHF I-Code SL1標簽，內部包含128字節可讀寫內存。他們對標簽編寫了多種病毒代碼，同時他們建立了一個實驗的RFID應用系統，系統內安裝了他們自己寫的RFID中間件。測試開始后，結果表明這些標簽可以攜帶多種病毒對RFID網絡的系統和中間件贊成攻擊，包括緩沖溢出和SQL注入攻擊。這些攻擊可能導致RFID應用服務器的后門。

     該組織承認，他們運用的是自己編寫的RFID中間件，但是他們稱商業中間件也可能存在這樣的漏洞。他們稱這次實驗的目的是告知商業軟件的開發者，RFID網絡是具有傳播病毒的能力和潛力，必須要及早注重安全性的開發，不然等到安裝了大量的RFID系統并造成重大破壞的時候就已經來不及了。

     該組織相信，使用可讀寫的RFID標簽會有很大的風險，一個有惡意代碼的標簽會造成更多的被感染標簽，這將引發一場混亂。比如說在拉斯維加斯的McCarran機場，現在已應用了RFID標簽行李系統，假使系統感染了RFID標簽病毒，那么這些帶有RFID標簽的行李包裹將會被亂運到世界各地的其它機場。

     或許RFID標簽病毒攻擊的結論在理論上是可能的，但是"RFID行業是IT行業的一個分支，IT行業一直以來對安全是極端重視的，早在Auto-ID中心的一些工作就已考慮到了安全隱患。"ThingMagic的副總裁Ashton說。Ashton還指出，相比于PC系統，該組織的研究中存在一個問題：RFID系統由中間件、應用軟件和數據庫系統組成，客戶定制的管理軟件控制了這幾個模塊。而RFID應用軟件都是唯一的，不象PC的桌面系統。也就是說，攻擊者必須要很了解每一個獨立的應用系統的知識，而且這個系統內必須存在"笨突破口"。