Forscher knacken Kreditkarten

Professor Ross Anderson von der Cambridge University erklärte gegenüber CBS Interactive, die Absicherung per Chip und PIN sei künftig bedeutungslos. Er und seine Kollegen hätten Transaktionen durchgeführt, ohne eine korrekte PIN in ein Kartenlesegerät einzugeben. Der Test habe mit Kreditkarten von sechs unterschiedlichen Geldinstituten funktioniert, darunter Barclaycard, Bank of Scotland und HSBC.

Der Fehler im EMV-Protokoll beruhe darauf, dass Karte und Terminal bei der Gültigkeitsprüfung mehrdeutige Daten erzeugten, die die Bank als gültig akzeptiere, so die Forscher. “Dadurch glaubt das Terminal, dass die korrekte PIN eingegeben wurde – und die Karte glaubt, dass die Zahlung mit einer Unterschrift autorisiert wurde”, sagte Saar Drimer, einer der Forscher der Universität Cambridge, gegenüber der BBC.

Mark Bowerman, Sprecher der UK Payments Administration, erklärte: “Wir nehmen den Bericht sehr ernst. Trotzdem widersprechen wir der Behauptung, dass die Authentifizierung per Chip und PIN geknackt wurde.” Bisher gebe es keine Beweise, dass das von den Forschern entwickelte Verfahren für Kreditkartenbetrug in Großbritannien benutzt worden sei.

Laut BBC arbeiten einige Banken an einem Patch für die Schwachstelle. “Es gibt Möglichkeiten, den Chip und das PIN-System zu aktualisieren, damit diese Angriffe bei den meisten Transaktionen nicht mehr funktionieren”, sagt Sicherheitsforscher Steven Murdoch, der mit Anderson und Drimer an der Untersuchung mitgewirkt hat.
Die BBC berichtet in einem Video über die Manipulation der Kreditkarten.