Cambridge-forskere finder ny svaghed ved pinkode-beskyttede betalingskort

Det er atter lykkedes forskere ved Cambridge University at påpege et stort sikkerhedshul i den såkaldte chip-and-PIN-løsning, som mange betalingskort anvender.

Af Jakob Møllerhøj 17. sep 2012 kl. 12.58

Den såkaldte chip-and-PIN-løsning, der er bredt anvendt til betalingskort, også i Danmark, lader til at have en sikkerhedsmæssig svaghed. Forskere ved universitetet i Cambridge har tilsyneladende fundet en måde, hvorved betalingskortene kan udsættes for en slags kloning og bruges til at gennemføre betalinger, uden at kortejeren ved det.

Chip-and-PIN-systemet kaldes således, fordi sikkerheden består af en chip på et kort, som sammen med en pinkode bruges til at godkende transaktioner med. Men nu har forskerne påvist, at det kan lade sig gøre at optage dele af autentificeringsproceduren i forbindelse med en betaling - eksempelvis via en kompromitteret betalingskortterminal i en forretning.

Herefter kan de optagede oplysninger genafspilles og nye betalinger kan gennemføres, selvom gerningsmændene ikke er i besiddelse af det originale betalingskort. Det er muligt, fordi en del af transaktionsgodkendelsen i forbindelse med kortbetalinger i det udbredte EMV-betalingssystem (Europay, Mastercard og Visa) hviler på et såkaldt Unpredictable Number, altså et nummer, som ikke bør kunne forudsiges, fremgår det af rapporten om sårbarheden fra de fem Cambridge-forskere Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov og Ross Anderson.

Forskerne ved universitetet i Cambridge har konstrueret deres eget kort, der lagrer de såkaldte Unpredictable Numbers i forbindelse med korttransaktioner. Dataene bruger forskerne til at analysere sig frem til, hvilke numre der alligevel ikke er så uforudsigelige, som de burde være (Kilde: Light Blue Touchpaper)

Problemet er, at det uforudsigelige nummer, som bliver genereret i eksempelvis kortterminalen i en butik, i nogle tilfælde ser ud til at kunne forudsiges, har forskerne fundet ud af.

»Hvis man kan forudsige det, så kan man optage alt, hvad der er nødvendigt ved at have et øjebliks adgang til et chipkort, og så afspille det igen og udgive sig for at være dette kort på en fremtidig dato og lokation. Man kan så godt som klone chippen. Det kaldes et 'pre-play'-angreb,« skriver den ene af forskerne Mike Bond på sikkerheds-bloggen Light Blue Touchpaper.

Forskerne mener, fremgangen kan forklare tidligere uforklarlige tilfælde af kortmisbrug. Og ifølge Mike Bond, så har 'visse i industrien' haft kendskab til problemet.

Det er ikke første gang, chip-and-PIN-løsningen kommer under beskydning for at have sikkerhedshuller. I 2010 demonstrerede forskere - ligeledes ved universitet i Cambridge, hvordan chip-and-PIN kunne omgås i EMV ved narre en kortlæser til at acceptere en vilkårlig pinkode.

Læs også: Forskere har knækket sikkerheden på chipkort

Læs mere om teknikken bag det nye angreb ved at følge linket til venstre under dokumentation.