Até onde eu sei, sempre existe algum tipo de risco em obter acesso a dados pessoais ou obter dívidas com o nome em um passaporte. Mas existe alguma chance de alguém ler dados biométricos da NFC do passaporte, como impressões digitais ou uma fotografia sem senha?
O chip RFID em um passaporte biométrico pode ser convencido a comunicar todos os dados armazenados, se as chaves certas forem fornecidas. Observe que não é uma questão de baixar dados criptografados do chip e experimentar com ferramentas de descriptografia de algum tipo; a comunicação com o chip é bidirecional e a autenticação deve ser fornecida primeiro.
Os dados principais, como nome e fotografia, são protegidos pelo Controle de Acesso Básico, onde a chave pode ser derivada de dados legíveis por máquina visíveis no próprio passaporte. Em essência, depois de visualizar o passaporte, é possível fazer o download dos mesmos dados que você acabou de ver, além da assinatura digital da autoridade emissora, confirmando que são genuínos.
Há também o Controle de acesso estendido, onde a ideia é que dados mais sensíveis, como impressões digitais, sejam protegidos por chaves que a autoridade emissora fornece apenas a terceiros, como os departamentos de imigração de outros países.
Assim, qualquer pessoa aleatória que saiba o número do documento, a data de nascimento do proprietário e a data de validade do passaporte (é o que inclui a chave BAC) pode usar isso para ler dados básicos e baixar a foto (existem vários aplicativos Android que fazem exatamente isso), embora não seja possível levar um scanner poderoso para um aeroporto e carregar muitos passaportes de transeuntes. O download das impressões digitais e de outros dados requer chaves especiais que são, em teoria, distribuídas por alguns canais seguros entre as autoridades competentes. Ouvi, sem provas, que esse processo envolve muitos obstáculos e meu país (Ucrânia) simplesmente não compartilhou essas chaves com nenhum outro país.
Os dados no seu chip de passaporte são criptografados, mas a chave de criptografia são os dados legíveis por máquina na página de dados pessoais (consulte, por exemplo, este deck de slides da ICAO) Portanto, é inútil se alguém apenas lê o chip sozinho, mas se também pode ver a página de dados pessoais, também pode descriptografar o conteúdo do chip. Existem aplicativos Android que podem ler o chip do passaporte e exigem que você digitalize a página de dados com a câmera e, em seguida, leia o chip com o leitor NFC do telefone. Será muito óbvio se alguém estiver fazendo isso com o seu passaporte.