Weet u nog toen we allemaal van magneetstrip naar chip gingen op onze bankpassen, omdat dit veiliger zou zijn? Niets van waar, aldus een groepje onderzoekers, dat aantoont hoe makkelijk de nieuwe bankpassen te skimmen zijn.
In een paper van de Universiteit van Cambridge tonen de onderzoekers aan wat er mis is met de EMV-chip (Europay MasterCard Visa) op bankpassen. Door een lek in het protocol van EMV is het mogelijk om de bankpassen te kopiëren, zonder dat de bank de kloonpassen van echt kan onderscheiden.
Het eerste probleem zit in de authenticatiecode die voor iedere transactie willekeurige gegenereerd zou moeten worden. Dat gebeurt dus niet, zo blijkt uit praktijkonderzoek (.pdf), vanwege een slechte implementatie van deze functie.
Het volgende probleem zit in de communicatie tussen pinterminals en banken. Omdat de randomfunctie slecht wordt toegepast, kan een winkeleigenaar met wat programmeerkennis een willekeurig getal genereren. Ook kan de authenticatiecode worden gewijzigd. Het komt er op neer dat er met een ‘gehackte’ betaalterminal toegang kan worden verschaft tot bankpassen, waarna de gegevens op een nieuwe pinpas met EMV-chip kunnen worden gezet. Deze gekloonde pas is vervolgens niet van echt te onderscheiden, waardoor de bank geen fraude zal detecteren.
Of er naar aanleiding van dit onderzoek naar de EMV-chip, waar wereldwijd meer dan een miljard bankpassen zijn uitgerust, wijzigingen in het protocol worden doorgevoerd is nog niet bekend.