PIN-Verifikation von EC und Kreditkarten mit EMV-Chip ausgehebelt !

Die deutschen Bankenlandschaft scheint dieses Jahr nicht zur Ruhe zu kommen. Kaum hat man das Jahr-2010-Problem bei Bankkarten mit einem blauen Auge abgewendet, da haben es aktuell britische Forscher der Cambridge University geschafft die PIN-Verifikation bei Zahlungskarten mit EMV-Chip komplett zu umgehen ! ("Chip and PIN is broken")

In einer Art Man-In-The-Middle Attacke ist es wohl möglich mit Hilfe eines mobilen PC's und etwas elektronischem Adapter-Equipment gefälschte Botschaften in die Kommunikation zwischen Kartenterminal und EMV-Chip einzuschleusen. Die Forscher Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond haben es dabei geschafft eine Antwort mit dem Code 0x9000 in richtigem zeitlichen Abstand  nach einen Verfiy-Kommando an das Terminal zu senden. Dabei spielt die eingegebene PIN keine Rolle da sie eh nie die Karte erreicht.

Setup zur Überwindung der PIN-Verifikation

Allerdings versteht das Terminal den Code 0x9000 als "PIN Gültig" und setzt damit die begonnene Transaktion nun unauthorisiert fort ! Das Problem soll sich jedoch bezogen auf deutsche Bankautomaten relativieren, da hier angeblich die PIN-Prüfung in jedem Fall durch die nachgeschalteten Bankserver durchgeführt würden. Ob dies auch für die unzähligen mobilen Bezahlterminals in Geschäften oder etwa auch Bankautomaten im Offline-Modus (ohne Verbindung zum Bankserver) gilt ist fraglich.

In jedemfall werden es aber die Banken zukünftig sehr schwer haben vor Gericht Schuldfrage in Fällen eines Kartenmissbrauchs auf den sorglosen Umgang des Kunden mit seiner Geheimzahl zu schieben !

 

Links

http://de.engadget.com/2010/02/13/forscher-tricksen-die-pin-prufung-von-ec-und-kreditkarten-aus

http://www.heise.de/newsticker/meldung/PIN-Pruefung-im-EMV-Verfahren-bei-EC-und-Kreditkarten-ausgehebelt

http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html

Keine Kommentare möglich.