Chip- und PIN-System erwiesenermaßen fehlerhaft
Verfasst von sac am 28. Februar 2010 - 16:42
Dieser Artikel ist auch verfügbar auf:
Englisch: Chip and PIN system proven to be flawed
Laut einer Untersuchung durch eine Expertengruppe des Computerlabors der Universität Cambridge, ist das Chip- und PIN-System fehlerhaft und ermöglicht Kriminellen die Nutzung gestohlener Kredit- und Debitkarten ohne Kenntnis über die korrekte PIN.
Die Diebe können problemlos ein Gerät herstellen, dass eine Verbindung zwischen Karte und Point-of-Sale-Terminal modifiziert und auffängt und das Terminal glauben lässt, es sei die korrekte PIN verifiziert worden, obwohl tatsächlich irgendeine PIN eingegeben werden könnte und die Transaktion dennoch anerkannt würde.
„Der Fehler liegt darin, dass bei Einführung einer Karte in ein Terminal eine Übertragung stattfindet, um festzulegen wie der Karteninhaber zu authentifizieren ist: durch Nutzung einer PIN, durch Nutzung einer Signatur oder gar nicht. Dieses spezielle Protokoll ist nicht bestätigt, wodurch man die Karte glauben lässt, es würde eine Chip-und-Signatur-Transaktion durchführen, während das Terminal denkt, es sei eine Chip-und-PIN-Transaktion. Das Ergebnis ist, dass man Waren mit einer gestohlenen Karte und der PIN 0000 (oder jeder anderen) kaufen kann. Wir haben genau das vor laufender Kamera mit diversen Karten von Journalisten gemacht. Die Transaktionen sind problemlos beendet worden und auf der Quittung stand stets >Verifiziert durch PIN<“, erklärte Professor Ross Anderson, einer der Forscher.
Die Angriffe können erfolgreich durchgeführt werden bei Karten, die online (ein POS eines Händlers, der Kontakt zur Bank aufnimmt) oder offline für jegliche Geldbeträge genutzt werden, und bei Banksystemen, die auf EMV (Europay, MasterCard, Visa) basieren. Bei Geldautomaten und Karten, die bereits seitens der Bank gesperrt wurden, funktioniert der Trick jedoch nicht.
Das Forschungsergebnis besagt, dass die Angriffe durch eine „mangelnde Authentifizierung bei der Rückmeldung der PIN-Verifizierung, gekoppelt mit einer Uneindeutigkeit bei der Verschlüsselung des Ergebnisses der Inhaberverifikation, wie sie bei TVR (Terminal Verifizierungsresultate) vorzufinden ist,“ ermöglicht werden.
Das Hauptproblem sei, dass Banken sich weigern, Opfern solcher Angriffe Kosten zu erstatten, weil sie vorgeben, Karten könnten nicht ohne die korrekte PIN eingesetzt werden, was dieses Dokument widerlegt.
„Das ist nicht bloß ein Versagen der Technologie der Bank. Es ist ein Versagen der Bankenverordnungen. Der Ombudsmann unterstützte die Banken und Behörden weigerten sich, etwas zu unternehmen. Sie waren viel zu sehr darauf versessen den Banken Glauben zu schenken“, sagte Anderson.
Chip and PIN is broken (11.02.2010)
Chip and PIN is Broken (draft for the 2010 IEEE Symposium on Security and Privacy)
Cambridge researchers show that the Chip and PIN system is vulnerable to fraud (11.02.2010)
Chip and pin card readers fundamentally flawed (11.02.2010)
Chip and PIN is broken, say researchers (11.02.2010)
Neueste Kommentare
vor 1 Woche 1 Tag
vor 3 Wochen 6 Tage
vor 3 Wochen 6 Tage
vor 4 Wochen 3 Tage
vor 4 Wochen 3 Tage
vor 4 Wochen 6 Tage
vor 5 Wochen 7 Stunden
vor 7 Wochen 5 Tage
vor 7 Wochen 5 Tage
vor 10 Wochen 5 Tage