Raziskovalci uspešno napadli bančne kartice s čipom
Matej Kovačič
13. mar 2008 ob 15:25:18
Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.
Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.
Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno uporabljajo tehnologijo CVV (Card Verification Value Code), ki se nahaja na magnetnem traku.
Raziskovalci so o problemu novembra 2007 obvestili britansko združenje za plačevanje APACS, britansko tajno službo GCHQ ter podjetja Visa, Ingenico in Verifone (Dione), kljub temu pa problematične naprave niso bile umaknjene iz tržišča.
Raziskovalci so problem opisali v članku Thinking inside the box: system-level failures of tamper proofing, na internetu pa se je pojavilo tudi poročilo združenja APACS o bančnih karticah z čipom.