Chipkaart met pin gekraakt /reageer

Chipkaart met pin gekraakt

Het EMV-protocol, dat moet zorgen voor authenticatie met pin voor creditcards met chip, deugt niet. Dat beweren onderzoekers uit Cambridge in een eerder deze maand geopenbaard paper voor een IEEE-conferentie (pdf-alert). Er zijn wereldwijd 730 miljoen van deze kaarten in omloop.

De aanval is een zogeheten ‘man in the middle’, waarbij een apparaatje tussen de kaart en de bonafide terminal gestoken wordt om de communicatie tussen beide te manipuleren. EMV, genoemd naar bedenkers Europay, Mastercard en Visa, is niet één protocol, maar een hele set, waarbij afzonderlijke banken andere keuzes kunnen maken. De onderzoekers keken vooral naar kaarten van Britse banken, maar beweren dat andere even kwetsbaar zijn. Alle bevatten namelijk dezelfde weeffout, onvoldoende controle op de pin-verificatie.

Wanneer een pin wordt ingetoetst op de terminal, gaat deze naar de kaart om te kijken of hij overeenkomt met gegevens erop. De terminal onthoudt ‘pin ingetoetst’ en ‘verificatie gevraagd’. De man in the middle geeft aan de kaart echter door: ‘terminal kent geen pin’. De kaart valt dan terug op een pinloos protocol (bedoeld voor kleine transacties, bijvoorbeeld bij snoepautomaten) en seint terug ‘verificatie verleend’. De terminal denkt dan ten onrechte dat de pin geverifieerd is en laat de transactie doorgaan.

Deze methode werkt alleen bij transacties in winkels, omdat geldautomaten de correctheid van de pin vaststellen in communicatie met de server bij de bank. De onderzoekers denken dat reparatie mogelijk is door nieuwe kaarten, met betere chips, explicietere feedback te laten geven welke verificatiemethode gehanteerd is. Gegeven de complexiteit van het EMV-protocol verwachten ze bij doorzoeken nog meer fouten aan te treffen.

Volgens banken is de aanval uit Cambridge te gecompliceerd om crimineel toe te passen. Inderdaad komt er nu elektronica en een laptop aan te pas, die in een winkel wel zal opvallen. De onderzoekers claimen echter al meermaals klanten te hebben geassisteerd die ruzie hadden over een transactie die ze volgens hen niet gedaan hadden. In hun paper beschrijven ze een geval van iemand wiens kaart gestolen was, maar geen refund kreeg van een transactie, omdat het systeem aangaf dat er een pin gebruikt was. De winkel in kwestie bleek het bonnetje echter nog te hebben, waaruit bleek dat de klant een handtekening ter authenticatie had gebruikt, toen er iets mis ging met de pin. Of de in Cambridge gevonden hack al toegepast wordt of niet, de mededeling ‘geverifieerd met pincode’ heeft een beperkte betekenis.

Reageren via Facebook

Reacties

Over Christian Jongeneel

Christian Jongeneel is wetenschapsjournalist voor onder andere Technisch Weekblad en De Ingenieur. Zijn weblog en andere artikelen zijn te vinden op [url=http://www.christianjongeneel.nl]www.christianjongeneel.nl.