Cambridge-forskere finder ny svaghed ved pinkode-beskyttede betalingskort

Den såkaldte chip-and-PIN-løsning, der er bredt anvendt til betalingskort, også i Danmark, lader til at have en sikkerhedsmæssig svaghed. Forskere ved universitetet i Cambridge har tilsyneladende fundet en måde, hvorved betalingskortene kan udsættes for en slags kloning og bruges til at gennemføre betalinger, uden at kortejeren ved det.

Chip-and-PIN-systemet kaldes således, fordi sikkerheden består af en chip på et kort, som sammen med en pinkode bruges til at godkende transaktioner med. Men nu har forskerne påvist, at det kan lade sig gøre at optage dele af autentificeringsproceduren i forbindelse med en betaling - eksempelvis via en kompromitteret betalingskortterminal i en forretning.

Herefter kan de optagede oplysninger genafspilles og nye betalinger kan gennemføres, selvom gerningsmændene ikke er i besiddelse af det originale betalingskort. Det er muligt, fordi en del af transaktionsgodkendelsen i forbindelse med kortbetalinger i det udbredte EMV-betalingssystem (Europay, Mastercard og Visa) hviler på et såkaldt Unpredictable Number, altså et nummer, som ikke bør kunne forudsiges, fremgår det af rapporten om sårbarheden fra de fem Cambridge-forskere Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov og Ross Anderson.

Problemet er, at det uforudsigelige nummer, som bliver genereret i eksempelvis kortterminalen i en butik, i nogle tilfælde ser ud til at kunne forudsiges, har forskerne fundet ud af.

»Hvis man kan forudsige det, så kan man optage alt, hvad der er nødvendigt ved at have et øjebliks adgang til et chipkort, og så afspille det igen og udgive sig for at være dette kort på en fremtidig dato og lokation. Man kan så godt som klone chippen. Det kaldes et 'pre-play'-angreb,« skriver den ene af forskerne Mike Bond på sikkerheds-bloggen Light Blue Touchpaper.

Forskerne mener, fremgangen kan forklare tidligere uforklarlige tilfælde af kortmisbrug. Og ifølge Mike Bond, så har 'visse i industrien' haft kendskab til problemet.

Det er ikke første gang, chip-and-PIN-løsningen kommer under beskydning for at have sikkerhedshuller. I 2010 demonstrerede forskere - ligeledes ved universitet i Cambridge, hvordan chip-and-PIN kunne omgås i EMV ved narre en kortlæser til at acceptere en vilkårlig pinkode.

Læs også: Forskere har knækket sikkerheden på chipkort

Læs mere om teknikken bag det nye angreb ved at følge linket til venstre under dokumentation.

Dokumentation

Blog: Chip and Skim: cloning EMV cards with the pre-play attack