Angribere kan bruge smartcardlæser

Artiklen blev oprindeligt publiceret den 20/11/2012

Sikkerhedsforskere vil demonstrere et system, der lader angribere læse direkte fra en smartcardlæser tilsluttet offerets pc.

I weekenden vil sikkerhedsforsker Paul Rascagneres demonstrere metoden på en konference. Angrebet består i, at der installeres en driver på offerets pc. Driveren giver adgang til USB-opkoblede enheder over TCP/IP.

Via et program på angriberens pc kan angriberen bruge tilsluttede USB-enheder på offerets pc, som om de var koblet til hans egen computer.

Et succesfuldt angreb kræver, at angriberen kan installere driveren på offerets pc. Det kan ske ved at udnytte sårbarheder eller narre offeret til at installere den.

Forskerne har testet systemet med flere smartcards brugt af belgiske banker. Prototypeprogrammet indeholder også en funktion til at opsnappe de passwords, offeret indtaster, skriver Computerworld US.

Der kendes ikke til angreb, der udnytter metoden.

Links

• Proof-of-concept malware can share USB smart card readers with attackers over Internet, artikel fra Computerworld US
• MalCon 2012 Technical Briefings