Biztonsági rést fedeztek fel a bank- és hitelkártyákhoz is használt EMV technológiában
2010. február 16., kedd
{{{1}}}
A hiba kihasználásával a PIN kód ismerete nélkül is lehetséges vásárolni az ilyen típusú kártyákkal. A Ross John Anderson vezette kutatócsoport összesen hat különböző pénzintézet, nevezetesen a Bank of Scotland, a Barclaycard, a Co-operative Bank, a Halifax, a HSBC és a John Lewis rendszerét is ki tudta játszani a bolti terminálokon. Az EMV technológia szerte a világon használt, de Nagy-Britannia számára külön kényessé teszi az ügyet, hogy ott a bolti kártyás fizetések 90%-a ezen alapul.[1] A csoport a probléma felfedezését bőven a nyilvánosságra hozatal előtt, még december elején jelezte a bankszférának. Ross J. Anderson egyébként neves biztonságtechnikai szakértő, a Cambridge-i Egyetem professzora, a Microsoft Palladium nevű rendszertervének egyik fő kritikusa.
Az EMV típusú kártyákon – ellentétben a Magyarországon elterjedt mágnescsíkos megoldással – az adatokat egy chip tárolja, beleértve a PIN kódot is. A PIN beütésekor a kártyát az olvasóban kell tartani: a terminál a megadott számokat továbbítja a chipnek; ha a kód helyes, akkor a chip a 0x9000-es hexadecimális értékkel válaszol. Akárcsak nálunk, a vásárlások alkalmával a PIN megadása nem kötelező, azt bizonyos elfogadóhelyeken a vásárló aláírása is helyettesítheti.
A gond az, hogy a terminál és a chip kommunikációjába viszonylag egyszerű eszközökkel bele lehet szólni. Amit a kutatók megvalósítottak, az – technikai szakzsargonnal élve – egy középreállásos támadás. Az eredeti kártyát egy számítógép kártyaolvasójába helyezték, míg a bolti terminálba egy hamisat tettek; ez utóbbit (mármint magát a kártyát) kábeleken keresztül szintén a géphez csatlakoztatták. A terminál jeleit a hamis kártya és a számítógép révén közvetítették az eredetihez és fordítva, lehetőséget adva a kommunikáció lehallgatására. A közvetítést a PIN kód továbbításakor megszakították és a terminál felé elküldték a helyes kódot visszaigazoló hexadecimális jelet. Az eredeti kártya mindeközben azt a jelet kapta, hogy a vásárló aláírást használt PIN helyett. Az összeg ezzel levonásra került a számláról.
A csoport szerint a berendezés összeállítása csak minimális szakértelmet igényel és hozzávetőleg egy távirányító méretéig miniatürizálható. Egyik tagjuk, Dr. Steven Murdoch szerint nem lehetetlen, hogy leleményes bűnözők már építettek hasonló készülékeket, s az sem, hogy ezeket az interneten forgalmazzák. Anderson szintén arra figyelmeztetett, hogy a technikát már használhatják illetéktelenek, elvégre több ellopott kártya számláját is megcsapolták az utóbbi időkben. Hozzátette: „A bankok tévednek. Sőt: amikor azt mondják, hogy »a rendszer biztonságos«, valójában szándékosan hazudnak és megtévesztik a fogyasztókat. A rendőrségnek már rég nyomoznia kellene az ügyben. Ez a technológia egyszerűen nem megfelelő a célra.”[2]
A Which? nevű fogyasztóvédelmi szervezet szintén sürgeti a nyomozás megindítását annak fényében, hogy egy közelmúltbeli felmérésük szerint minden hetedik ember számlájáról tűnt már el pénz a tulajdonosok tudta és jóváhagyása nélkül. Az esetek mintegy felében a bankok nem térítették meg ezen károkat.
A módszer részleteit taglaló tanulmány félkész változatát időközben publikálták az interneten. A felfedezés várhatóan témája lesz a Villamosmérnökök Egyesülete[3] májusi biztonságtechnikai szimpóziumának.
A kártyakibocsátók nevében nyilatkozó Mark Bowerman kifejtette, hogy ez a fajta trükk nem használható a bankjegykiadó automatáknál. Hangsúlyozta továbbá, hogy az EMV bevezetése óta a kártyákkal való visszaélések száma csökkent, s hogy a módszert egyelőre nem használták rossz szándékkal – legalább is erre nincs bizonyíték. „A tanulmányt pedig igenis komolyan vesszük, elvégre a kártyahasználók és számláik biztonsága számunkra mindenek előtti. Egyúttal elutasítjuk a felvetést, miszerint a rendszer alkalmatlan lenne feladata ellátására.”[4] – mondta.
Lábjegyzet
- ↑ A UK Payments Administration adata.
- ↑ Az eredeti szöveg: „The banks are wrong. All the banks are lying. They are maliciously and wilfully deceiving the customer. If there was any justice then the police would be looking into this. The system is not fit for purpose.”
- ↑ angol nevén: Institute of Electrical and Electronics Engineers, röviden: IEEE
- ↑ Az eredeti szöveg: „We are taking this paper very seriously, as maintaining excellent levels of card security is paramount. However, we strongly refute the allegation that chip and PIN is broken.”
Forrás
Ez a híradás az angol Wikihírek Chip and PIN 'not fit for purpose', says Cambridge researcher című cikkének a fordításán alapul. Ha külön nem jelöltük, a lent felsorolt források megegyeznek az eredeti cikk forrásaival. Az eredeti cikk licencfeltételei eltérhetnek. |
- Steven J. Murdoch, Saar Drimer, Ross Anderson and Mike Bond: EMV PIN verification “wedge” vulnerability. University of Cambridge Computer Laboratory, 2010. február 12.
- Richard Alleyne: Chip and pin should be overhauled to protect millions of bank customers. telegraph.co.uk, 2010. február 12.
- Tom Espiner: Chip and PIN is broken, say researchers. ZDNet UK, 2010. február 11.
- Susan Watts: New flaws in chip and pin system revealed. BBC Newsnight, 2010. február 11.