Sikkerhed i chipkort kan knækkes

Artiklen blev oprindeligt publiceret den 21/5/2014

Sikkerhedsforskere har fundet sårbarheder i implementeringen af betalingssystemer med chipkort. Angribere kan udnytte dem til hæve penge på eller betale med andres kort.

Fem forskere fra Cambridge-universitetet har udsendt artiklen "Chip and Skim: cloning EMV cards with the pre-play attack". De har testet implementeringer af chipkortløsninger både i pengeautomater og butiksterminaler.

Blandt sårbarhederne er problemer med tilfældigheden af tilfældige tal, der bruges i valideringen af en transaktion. Når angribere kan gætte, hvad værdien af det tilfældige tal bliver, kan de forfalske en transaktion.

Misbruget kan finde sted, selvom det ikke er muligt at klone offerets chipkort.

Anbefaling
Hvis ens chipkort er blevet misbrugt, kan man bruge artiklen til at argumentere for, at kortet ikke behøver have været fysisk til stede på det sted, hvor det blev misbrugt.

Links

• Chip-and-PIN should be
• Chip and Skim: cloning EMV cards with the pre-play attack (PDF-format)
• The pre-play vulnerability in Chip and PIN, blogindlæg af Steven J. Murdoch