Onderzoekers van de Universiteit van Cambridge hebben aangetoond hoe criminelen een chip en pincodeterminal zo kunnen aanpassen dat wanneer een echte pincode wordt ingevoerd, het lijkt alsof er een pincode met een hogere waarde is ingevoerd.

Het team ontdekte dat criminelen, door een klein apparaatje genaamd een 'glitcher' aan de geldautomaat te bevestigen, het cryptografische protocol konden manipuleren dat door de chip en de pincode wordt gebruikt om pincodes te beschermen.

Door deze kwetsbaarheid kunnen criminelen geld van de bankrekeningen van slachtoffers stelen door de geldautomaat te laten denken dat een echte pincode eigenlijk een andere pincode met een hogere waarde is.

De onderzoekers hebben een patch ontwikkeld die de kwetsbaarheid zou kunnen verhelpen, en ze werken samen met de UK Cards Association (UKCA) om ervoor te zorgen dat alle Britse chip- en pinterminals zo snel mogelijk worden gepatcht.

Professor Steve Fehler van het Computer Laboratory van de Universiteit van Cambridge, die het onderzoek leidde, zei:“Dit is een ernstige kwetsbaarheid waardoor criminelen geld van de bankrekeningen van mensen kunnen stelen. We werken samen met de UK Cards Association om ervoor te zorgen dat alle Britse chip- en pinterminals worden zo snel mogelijk gepatcht."

De onderzoekers hebben een paper gepubliceerd waarin ze hun bevindingen beschrijven, die in augustus zullen worden gepresenteerd op het USENIX Security Symposium.

Hier is een meer gedetailleerde uitleg van hoe de aanval werkt:

* Wanneer een chip- en pinkaart in een geldautomaat wordt geplaatst, stuurt de geldautomaat een bericht naar de kaart met de vraag om de pincode.

* De kaart codeert vervolgens de pincode met behulp van een cryptografisch protocol genaamd DES (Data Encryption Standard) en stuurt deze terug naar de geldautomaat.

* De geldautomaat decodeert de pincode met behulp van hetzelfde cryptografische protocol en vergelijkt deze met de pincode die op de kaart is opgeslagen.

*Als de pincode correct is, autoriseert de geldautomaat de transactie.

De onderzoekers ontdekten dat ze, door een "glitcher" aan de geldautomaat te bevestigen, het cryptografische protocol zo konden manipuleren dat wanneer een echte pincode wordt ingevoerd, het lijkt alsof er een pincode met een hogere waarde is ingevoerd.

Als de echte pincode bijvoorbeeld 1234 is, kan de glitcher dit wijzigen, zodat de geldautomaat een pincodewaarde van 9876 'ziet'. Hierdoor kan de crimineel € 9876 in plaats van € 1234 van de bankrekening van het slachtoffer opnemen.

De onderzoekers hebben een patch ontwikkeld die de kwetsbaarheid zou kunnen verhelpen, en ze werken samen met de UK Cards Association om ervoor te zorgen dat alle Britse chip- en pinterminals zo snel mogelijk worden gepatcht.

Deze kwetsbaarheid herinnert ons eraan dat geen enkel beveiligingssysteem volledig waterdicht is. Door samen te werken kunnen we het criminelen echter zo moeilijk mogelijk maken om ons geld te stelen.