Pinpas met chip niet zo veilig als banken claimen

En van Alex Gambin, woonachtig in Malta, die nog nooit van zijn leven een persoonlijk identificatienummer had genoteerd, maar toch 1350 euro uit geldautomaten getrokken zag worden nadat zijn portemonnee gerold was.

Banken staan in dat soort gevallen direct klaar om de gedupeerde te beschuldigen van slordige omgang met hun PIN. Maar ten onrechte. De slordigheid schuilt in de manier waarop het EMV-protocol, dat pinpassen met chips onkraakbaar zou maken, in sommige geldautomaten en pinapparaten geïmplementeerd is, stellen Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov en Ross Anderson in het onderzoeksrapport Chip and Skim: cloning EMV cards with the pre-play attack.

Onvoorspelbaar nummer blijkt nogal voorspelbaar

Het probleem schuilt in het 'onvoorspelbare nummer' dat de apparaten genereren om een transactie te authenticeren. Dat nummer is vaak helemaal niet onvoorspelbaar, ontdekten de wetenschappers uit analyses van geldautomaten. Het wordt veelal niet volstrekt willekeurig gegenereerd, maar op basis van een teller, of de datum of het tijdstip van de transactie. Soms is het randomiseerproces ook van buitenaf te beïnvloeden. En als je dat onvoorspelbare nummer kunt voorspellen, kun je uit kortstondig contact met een pinpas alles te weten komen wat je nodig hebt om als het ware een kloon van de kaart te maken.

Tot hun verbazing bemerkten de onderzoekers toen ze hun licht opstaken bij banken, dat een aantal ervan al op de hoogte was van deze zwakte. "Eens te meer het bewijs dat banken systematisch informatie over bekende kwetsbaarheden wegmoffelen, met als gevolg dat nog steeds slachtoffers geen compensatie ontvangen", concluderen de onderzoekers.