Mit viftekort ankom i foråret, og jeg har puslet med at hitte ud af, hvordan det var sikret. Ikke særligt godt, var svaret.
Ekstra-Bladets forside 2015-08-30 var "Dankort skandale. Nu kan tyven plyndre dig via sin mobil". Og historien er desværre ikke grebet ud af den blå luft.
På Youtube demonstrerer jeg, hvordan man med en almindelig mobiltelefon kan aflæse kortnummer og udløbsdato fra et viftekort, og hvordan man kan sikre sig ved blot at have sølvpapir i pungen. Angrebet er overraskende, men ikke rigtigt skræmmende: Angriberen skal være ret tæt på offeret før angrebet virker.
Men det er ikke det eneste angreb.
Med en simpel antenne på størrelse med et krus kan angrebet laves på 70 cms afstand. Så kan angriber blot have en taske, som han vandrer gennem folkemængden med.
Det kræver dog stadig, at angriberen er fysisk i nærheden, men vi er pludselig gået fra nogle få ofre til hundredvis. Dette angreb kunne stoppes ved at lade kommunikationen være krypteret hele vejen fra kortet til banken og lade viftekortet afvise kommunikation, der ikke var signeret af en bank. Det ville så begrænse viftekortet til kun at tillade online terminaler, mens man stadig skulle bruge PIN-kode til offline terminaler.
Men det kan blive endnu værre.
Angriberen udvikler en sjov app (vi kunne kalde den Happy Bird), som skal have adgang til NFC. Offeret downloader Angriberens app. Offeret har mobiltelefonen i lommen sammen med viftekortet. Appen opsamler kortnummer og udløbsdato og sender dem til Angriberen. Der er med andre ord Offerets egen mobiltelefon, der angriber Offerets viftekort.
Det angreb vil også virke for kort helt uden sikring (som f.eks. de fleste adgangskort), og udvider Angriberen Happy Bird så den også skal kende din placering (f.eks. via GPS), så kan Angriberen ud fra GPS og tidspunkt komme med et rimeligt gæt på, hvor disse kort kan bruges.
Med en modifikation vil det også kunne aflæse chippen i Offerets pas: Her skal man gætte fødselsdato, pasnummer og udløbsdato for at kunne aflæse chippen. Men hvis Offerets mobiltelefon kan prøve lige så mange gange, den vil, så går angrebet pludselig fra umuligt til tænkeligt.
Løsningen hedder igen sølvpapir i passet og i pungen.
Hvis bankerne (lige som Rejsekort) putter noget kryptering ind, så bliver angrebet sværere, men der er stadig "forlængerledningsangrebet":
Angriberen står i Føtex ved betalingsterminalen. Terminalen sender noget krypteret, som Angriberens mobiltelefon sender videre til Offerets viftekort via Happy Bird på Offerets mobiltelefon. Det krypterede svar kommer tilbage via Offerets mobiltelefon til Angriberens mobiltelefon, som giver det til terminalen og dermed betaler.
Angrebet vil (så vidt jeg kan se) også virke for rejsekortet.
Mit bedste forslag mod det angreb er timing: Et normalt svar vil komme til terminalen efter x ms. Hvis det tager mere end 2x ms, så skal terminalen bede om pinkode eller afvise.
Sikringen mod dette: Et sølvpapir på størrelse med en pengeseddel i pungen. Og ja, det vil gøre det mere bøvlet at benytte viftekort: Man kan ikke bare vifte pungen foran kortlæseren, men skal tage kortet ud af pungen.
Har du en mere elegant sikring, så vi kan få samme brugeroplevelse uden at gå på kompromis med sikkerheden?
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
