Friday, February 26, 2010

Chipkorten hackade

Ett brittiskt forskarteam har hackat chippet på våra betalkort (Eurocard/Mastercard/Visa). Eller hackat är väl inte rätt ord riktigt, snarare överlistat själva verifieringsprocessen.

Hacket, om vi väljer att kalla det så, medför att man kan använda ett kort för betalning utan att kunna pin-koden, men att köpet trots detta registreras som "verified by pin" vilket då medför att bankerna inte kommer att ersätta den som förlorat sitt kort.

Själva hacket är inte speciellt knepigt, man låter helt enkelt en liten dator svara "ja" på kortterminalens fråga "är det här rätt pinkod?" istället för att kortet gör det. Kortet i sin tur tror att köpet ska verifieras med signatur och klagar inte.

Det är kanske inte värdens största problem så här långt, förövaren måste ha tillgång till ditt kort vid köptillfället och kortet får inte vara spärrat. Sen gäller det bara köp i butik eller liknade med chipterminal, så summorna lär inte bli men än ett par tusen, rimligtvis.

Men sen kommer den STORA frågan. Kan man använda samma metod för att logga in i internetbanken? Jag har tillexempel tre olika internetbanker där jag stoppar ett chipförsett kort i en fristående kortläsare, knappar in en kontrollkod och min pinkod och får en svarskod tillbaka som jag knappar in i internetbankens inloggningsruta.

I en av bankerna, får jag inte någon verifiering på att jag har gett rätt pinkod, utan den används som en del i nyckeln, även fel pinkod genererar altså en svarskod, som för betraktaren sel lika riktig ut som alltid. Men i de andra två får man mer känslan av att pinkoden bara "öppnar" dosan. Undra om det går att komma runt på liknande sätt? Då kan det bli lite kostsammare...

En av bankernas dosor kan även kopplas till datorn med en kabel och kortet användas för e-legetimation, här knappas bara pinkoden in, antingen i dosan, eller på datortangentbordet, om jag använder en dosa utan knappsats. Fungerar hacket även här? Då blir det riktigt läskigt...

Väntar med spänning på att Truesec eller någon med tekniken på plats testar även dessa saker...

No comments:

Post a Comment