Trådløst kreditkort hacket under konference

Den amerikanske sikkerhedskonsulent Adam Laurie har på konferencen Black Hat 2008 demonstreret, at det er utroligt enkelt at aflæse data på de nye, trådløse RFID-kreditkort, som blandt andet American Express har lanceret.

Fidusen ved kreditkortene er, at kunderne med et system som Expresspay fra American Express kan betale med dem uden at skulle køre dem igennem en betalingsterminal ved kassen. Problemet er, at den trådløse kommunikation gør det så let at aflæse alle data.

Adam Laurie bad en frivillig person med et American Express kreditkort komme op på scenen. Derpå viste han den frivilliges personlige data på en storskærm, uden at kreditkortet forlod mandens lomme.

Derpå tog den frivillige kortet op af lommen og bekræftede, at oplysningerne på skærmen var rigtige. Oplysningerne omfattede både mandens navn, kontonummer og udløbsdato, skriver Cnets nyhedstjeneste.

American Express understreger over for nyhedstjenesten, at oplysningerne ikke kan misbruges til for eksempel internethandel, fordi der er flere sikkerhedsmekanismer i Expresspay.

Adam Laurie er dog ikke tryg ved de mange betalingskortsystemer med RFID, der for tiden tages i brug over hele verden. Han giver som eksempel en spansk strand, hvor badegæster opfordres til at få en lille RFID-tag skudt ind under huden. Derefter kan de betale under resten af deres ophold - uden at medbringe pengepung til stranden.

Adam Laurie har selv fået sådan en RFID-tag implanteret, og han demonstrerede under Black Hat, at han kunne overskrive oplysningerne på den, så han i stedet fremstod trådløst som et dyr.

På en internetside tilbyder Adam Laurie gratis programkoder, der gør enhver i stand til at aflæse og indlæse oplysninger på en række populære RFID-tags. Programkoden skal dog afvikles i et stykke aflæsningsudstyr, som sælges via Adam Lauries hjemmeside. Desuden er han direktør i firmaet The Bunker, som tilbyder sikkerhedsanalyser.

Dansk ekspert ikke bekymret, men forarget

Selve aflæsningen af RFID-taggene hverken bekymrer eller imponerer direktøren for konsulentfirmaet Pluscon, Henning N. Jensen.

»Det er jo ikke anderledes, end da man i sin tid demonstrerede, at man kunne aflæse magnetstriben på et gammeldags dankort,« siger han.

Derimod kan Henning N. Jensen godt blive lidt forarget over, at American Express lægger andre oplysninger på et kreditkort end kortets serienummer. Alt andet bør placeres i en database.

Henning N. Jensen oplyser, at han ikke kender til, at der skulle være danske planer om et kreditkort med RFID-antenne.

Derimod er det nye rejsekort, som i fremtiden skal betale med, baseret på RFID. Systemet bliver nu testet flere steder på Sjælland. Rejsekortet kan dog ikke bruges til internethandel, kun til at dokumentere, at man har ret til at køre med bus eller tog.

Dokumentation

Gratis Python-scripts til RFID-læsning
The Bunker's hjemmeside
Cnets artikel
Black Hat-konferencens hjemmeside