De wetenschappers van de universiteit van Cambridge die het EMV-protocol kritisch en aanhoudend aan de tand voelen, slaan weer toe. De onderzoeksgroep heeft de afgelopen negen maanden een toevallige vondst uitgezocht en geanalsyeerd. Onderzoeker Mike Bond heeft logbestanden van een spookgeldopname doorgespit en is daarbij op de toch-niet-random nummers gestuit.

Hij heeft zijn ontdekking bij toeval gedaan toen hij onderweg was en de logs doornam op een mobiele telefoon. Vanwege het kleine scherm kon de wetenschapper niet goed de paginanummers gebruiken en dus maakte hij onderscheid tussen de pagina's met data op basis van de zogeheten 'unpredictable numbers' (UN's) van EMV. Die nummers voor transactieverzoeken blijken niet in alle gevallen willekeurig te zijn en daardoor dus ook niet onvoorspelbaar.

Pinautomaten oogsten

Vervolgens hebben de Britse wetenschappers deze ontdekking uitgezocht. Daarvoor hebben ze logdata doorgenomen van andere gevallen van spookopnames. Ook zijn ze echte pinautomaten in hun omgeving systematisch afgegaan, op zoek naar toch-voorspelbare nummers in de UN's die ze uit die machines oogstten.

“We hebben ook drie ATM's [pinautomaten - red.] gekocht op eBay en hebben die geanalyseerd om het algoritme voor de random number generation te bepalen", schrijft Bond. Dit analysewerk is nu nog gaande, “reverse engineering is erg arbeidsintensief". Het is niet bekend welke modellen apparaten van welke fabrikanten allemaal wel en welke niet kwetsbaar zijn.

Criminelen kennen én gebruiken deze kwetsbaarheid al, stellen de onderzoekers. Niets van waar, reageert de banksector.

Lees verder op pagina 2.

Technische wapenwedloop

De wetenschappers durven al wel te stellen dat criminelen op de hoogte zijn van deze kwetsbaarheid in sommige EMV-pinapparatuur. Diverse gevallen van spookopnames zijn hiermee namelijk te verklaren. Vóór de invoering van EMV met het nieuwe pinnen konden skimmers relatief simpel magneetstrippen uitlezen om kloonpassen te maken. Deze criminelen zijn echter meegegaan in de technologische ontwikkeling en gebruiken technisch geavanceerde apparatuur in eigen skimlaboratoria.

Een woordvoerder van de Britse Cards Association verklaart tegenover de IDG News Service dat “er absoluut geen bewijs is dat dit type fraude werkelijk plaatsvindt". Hij stelt dat de organisatie een geval als dit zeer serieus neemt, maar voegt daar aan toe dat dit “een zeer gecompliceerde en technisch moeilijke aanval is om te ondernemen".

'Banksector wist hiervan'

Professor Ross Anderson van de Britse groep onderzoekers spreekt dit tegen. Hij zegt dat hun bewijs helder is en dat de banksector ruim vantevoren is geïnformeerd over deze kwetsbaarheid. “We hebben dit in februari besproken met vertegenwoordigers van banken, dus de industrie weet hiervan en sommige insiders hebben al toegegeven dat zij wisten dat dit een probleem is".

De woordvoerder van de Cards Association zegt dat de industrie stappen heeft genomen om te voorkomen dat dit type aanval kan plaatsvinden. Die maatregelen zijn doorgevoerd “sinds we ons bewust werden van de inhoud van deze paper [van de Britse wetenschappers - red.]". Hij verzekert nog dat “in het onwaarschijnlijke geval" dat een aanval van deze soort zou plaatsvinden, slachtoffers hun geld terugkrijgen. Webwereld heeft vragen uitstaan bij het Nederlandse EMV Projectbureau.