Chipkorten knäckta – det går att betala utan pinkod

2010-02-12 12:18  

Med ett stulet kreditkort går det att betala utan att kunna pinkoden. Ändå tror banken att pinkoden använts och det står också på kvittot. Forskare har demonstrerat hur det går till och genomfört köp.

Det ärforskare vid Cambridge Universitysom upptäckt säkerhetsluckan i chipkortsystemet, och sedan demonstrerat hur den kan användas. I enutförlig rapportbeskriver de säkerhetsluckan.

Metoden går ut på att ta sig in i kommunikationen mellan kort och terminal, och tala om för terminalen att kortet godkänt pinkoden. I protokollet finns nämligen ingen kontroll på vem som säger att pinkoden är korrekt.

"Vi tror att detta är en av de största säkerhetsluckorna vi någonsin upptäckt – som någon någonsin upptäckt – i ett betalsystem, och jag har varit i branschen i 25 år", säger Professor Ross Anderson från Cambridge University Computer Laboratory till BBC.

För att demonstrera hur säkerhetsluckan kan användas (video finns här) har forskarna byggt ihop en utrustning som består av en vanlig kortläsare i en ryggsäck, ansluten med kabel till ett kort som ser ut som ett chipkort men egentligen bara har kontaktytor där chipet normalt sitter.

I kortläsaren i ryggsäcken stoppar man in det stulna kortet, som alltså kommunicerar med butikens kortterminal via sladden och kontaktkortet.

Den som utför bedrägertiet låter sladden gå genom ärmen och håller kontaktkortet i handen. När det är dags att slå pinkoden slås valfri kod.

Programvara i kortläsaren manipulerar då kommunikationen – detta brukar kallas en "man-in-the-middle-attack" – och talar om för kortläsaren i butiken att kortet godkänt koden.

Köpet genomförs och på kvittot står att transaktionen är verifierad med pinkod, vilket banken också tror.

Forskarna menar att metoden mycket väl redan kan användas av kriminella. Flera fall finns då kortinnehavare inte känner igen transaktioner, fast de är verifierade med pinkod.

"Det krävs ingen hög teknisk nivå för att genomföra attacken, och en kompakt utrustning skulle inte uppmärksammas av butikspersonal. En ensam kriminell kan utveckla och tillverka utrustning som kan användas av andra, som i sin tur inte behöver förstå hur attacken fungerar", säger Saar Drimer, en av forskarna.

För att genomföra bedrägeriet måste man ha fysisk tillgång till kortet, antingen för att använda det direkt eller för att klona det.

Enligt Joachim Strömbergson, teknikchef på säkerhetsföretaget Informasic, kan problemet bli mycket svårt att åtgärda, eftersom det är en brist i själva protokollet som används – att det saknas kontroll på vem som säger att pinkoden är korrekt.

Det räcker inte med att uppgradera programvara i systemet.

– Programvaran i kortterminalerna måste uppgraderas och jag skulle tro att man måste byta ut korten också, säger Joachim Strömbergson.

Han påpekar dessutom att problemet finns kvar under lång tid även om man genomför en sådan uppgradering. Det beror på att man måste tillåta gamla kort att fungera tills alla blivit utbytta.

– En viktig fråga är också vem som ska betala för detta, tillägger han.

Mats Lewan

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt