Norsk biometriløsning til kreditkort hacket: Det er så banalt og dumt

Illustration: Bigstock
Biometri-sikkerhedsløsning kan omgås med et simpelt foto af en finger.

Opdateret 30. august med kommentar fra Mastercard. Et norsk selskab, der arbejder med biometri-sikkerhedsløsninger, er blevet taget med bukserne nede af tre tyske sikkerhedsforskere. Ved hjælp af et billede taget med et mobilkamera narrede tyskerne fingeraftryksensoren i det norske selskab, som bruges af nogle af verdens største betalingsaktører.

Selskabet producerer løsninger, som på sigt skal erstatte pinkoden på nutidens betalingsløsninger. Sidste år fik selskabet en eksklusiv aftale med Mastercard.

Sikkerhedsekspert Per Thorsheim kunne ikke lade være med at le, da han blev forevist svagheden.

»Det, Julian Fietkau, Jean-Pierre Seifert og Starbug (kendt hacker, red.) har gjort, er virkelig enkelt. De har simpelthen kopieret fingeraftrykket ved at tage et billede af en genstand, offeret har holdt ved, genskabt fingeraftrykket og trykket det mod aflæseren, som så har godkendt det. Det er så banalt og dumt, at det bare ikke burde være muligt,« siger Thorsheim til digi.no mellem latterudbruddene.

Peger på flere sårbarheder

I rapporten skriver sikkerhedsforskerne følgende om den norske løsning:

»Vi vil pege på kritiske sårbarheder i arkitekturen og algoritmen og vise, hvordan disse kan udnyttes til at foretage uautoriserede betalinger, ID-tyveri eller at stjæle eller klone en digital enhed,« hedder det i sammendraget af forskningsrapporten:

»Angrebet, vi præsenterer, kræver kun en meget lille indsats, og vi har kun benyttet os af billige løsninger [...].«

»Jeg kan sige flere ting, men det første, jeg tænker, er, at jeg er ked af, at det ikke var mig, som kom på at bruge dette banale trick som angrebsmetode,« siger Thorsheim til digi.no.

De tre tyske sikkerhedsforskere skriver i rapporten, at de ikke ønsker at navngive det norske selskab, men med informationen, de har gjort tilgængelig, var det ikke så svært at finde frem til, hvilket selskab der var tale om.

Det norske selskab Zwipe blev startet af Kim Humborstad for otte år siden. Ambitionen var at lave verdens næste teknologi til betalingskort, skriver DN.

I maj fejrede selskabet, at kortene blev taget i brug af Bank of Cyprus.

Sammen med Gemalto laver det norske selskab betalingskortene. Gemalto sender årligt omkring en milliard betalingskort ud på markedet for blandt andet Visa og Mastercard.

Arbejder med flere banker i Europa, USA og Asien

»Vi arbejder med flere banker, både i Europa, Asien og Nordamerika. Der bliver flere banker, som sætter pilotprojekter i den nærmeste fremtid,« sagde Humborstad, da aftalen blev gjort offentlig.

Kortene, som Zwipe laver, kombinerer kontaktløs betaling med en fingeraftrykslæser. Det skal gøre betalingen hurtig og sikker. Dermed vil brugerne af betalingskortene slippe for beløbsgrænsen på 200 kroner, som norske Banaxept opererer med, når man i dag betaler kontaktløst.

»Du trykker på en sensor på kortet, mens du holder det tre-fire centimeter over betalingsterminalen i et sekund – så har du betalt,« forklarede Humborstad til DN.

Digi.no har prøvet at få kontakt med Humborstad, men Zwipe henviste os bare til selskabets internationale pressekontakt, Ado Fazlic.

Han siger, at angrebsmetoden, de tyske sikkerhedsforskere har brugt, er uddateret og ikke vil fungere på selskabets nyeste produkter. Zwipe har fået midler fra fonden Innovasjon Norge.

Ifølge Fazlic vil samarbejdet med Gemalto eller betalingsnetværkene heller ikke påvirkes af sårbarheden, de tre tyskere har afdækket.

»Vi er bekendt med rapporten og kan afvise, at disse metoder fungerer på den nuværende teknologi,« siger Fazlic til digi.no og fortsætter:

Behold din pinkode

»Ingen løsninger vil være hundrede procent sikre mod hackerangreb. Det er vores løsninger heller ikke, men vi arbejder proaktivt med veletablerede testinstitutioner, som simulerer angreb og godkender produkterne. Vi gør vores yderste for at gøre det så vanskeligt som muligt at udføre denne type angreb, og det synes både vi og vores partnere, at vi klarer,« konstaterer Fazlic.

Per Thorsheim er enig i det første: Hackere kan stort set ikke stoppes.

Ifølge Per Thorsheim vil passwords ikke forsvinde i løbet af hans levetid. Han argumenterer for, at biometri indføres flere og flere steder, alene fordi det er brugervenligt.

At det dog ikke er sikkert nok, er blevet demonstreret igen og igen, konstaterer den norske sikkerhedsekspert.

»Alle påstande om, at noget ikke kan hackes, er bare markedsføring og salgspitch. En sådan påstand er baseret på at ingen foreløbig har kunnet gøre det. Hvis et produkt bliver givet til en hacker eller en sikkerhedsforsker, vil det ofte ikke tage særlig lang tid, før de har fundet en svaghed og udnyttet den. Et sikkert password, du holder hemmeligt, vil nok i lang tid fremover fremtid være det tryggeste valg for de fleste af os,« siger Thorsheim.

Mastercard påpeger efter artiklens udgivelse over for digi.no og Version2, at virksomheden tilbyder sikre og nemme betalingsløsninger.

»Vi laver sikkerhed først. Denne sag vedrører teknologi, som ikke er eller er blevet brugt af Mastercard i vores biometriske løsninger,« skriver virksomheden i en email.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
Jens Ole Stilling

Hi, har du hørt om den nye sikkerheds app med fingeraftryk, den må da være super sikker?
Næh, man kan da bare skære brugerens finger af!
Jamen så kunne man bare måle temperaturen også og opdage den var kold, ikke.
Har du ikke hørt om de nye USB finger varmere?

Thomas Nielsen

Der er en del gode tommelfingerregler (ja, undskyld), som jeg synes holder ret godt. Mindst 2 af dem er lidt problematiske i alle former for biometri, nemlig...

1) Brug ikke samme kodeord flere steder.
2) Skift kodeord jævnligt og i særdeleshed hvis det gældende bliver kompromiteret.

Punkt 1 er jo altid ret relevant, uanset hvor sikkert biometrien teknisk set er, for hvordan sikrer man sig mod at dem som opbevarer fingeraftrykket ikke misbruger det, eller ved simpel sjusk kommer til at offentliggøre dataene? I og med at punkt 1 er relevant, så er punkt 2 det jo også helt automatisk. Og så har vi ikke engang trukket 2-faktor med ind i ligningen, eller MiM-angreb eller fingeraftrykslæsere købt billigt i en eller anden tilfældig webbutik, med indbyggede backupløsninger.

Henrik Madsen

Hvis ens fingeraftryk så bliver "hacked" så kan man jo bare skifte til et nyt password.

Når det er sket 10 gange, så er man dog lidt på røven for så bliver det svært at skifte til et nyt password.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017