Quelli che sono stati eletti come sistemi affidabili per la sicurezza delle comunicazioni ed interconnessioni digitali sembrerebbero invece non essere tanto affidabili. Dopo il tanto famoso quanto triste crack del Trusted Platform Module di Infineon presentato alla conferenza Black Hat, questa volta a crollare sono state le smartcard con microchip appartenenti allo standard EMV che non sono riuscite a respingere un attacco provocato da alcuni ricercatori della Cambridge University i quali ne hanno addirittura sentenziato la morte prematura.
In particolare i ricercatori hanno lamentato dei grossolani difetti di design nel sistema di autenticazione delle smart card utilizzate per la transazioni finanziarie. A tali attacchi l’industria ha mostrato forte scetticismo ribadendo la bontà delle misure di sicurezza che hanno permesso un calo nel numero di frodi.
Le schede, nate da un consorzio Europay, MasterCard e VISA che ha poi dato vita al nome dello standard, sono utilizzate in tutto il mondo per le transazioni elettroniche. Note con il nome Chip and PIN, il Professor Ross Anderson ha dichiarato che il sistema è stato definitivamente battuto.
Nello specifico i ricercatori sono riusciti ad ingannare il lettore di carte obbligandolo ad effettuare la transazione anche senza aver digitato correttamente il PIN. L’attacco è il classico man in the middle che, secondo gli autori, richiede abilità di programmazione basilari e componentistica facilmente acquistabile.
Il problema è relativo all’abitudine del POS di controllare che il codice inserito sia uguale a quello presente nel chip, il quale conferma sempre con lo stesso codice 0x9000. E’ stato quindi sufficiente implementare uno script che fornisca tale codice al terminale, completando così la transazione.
I commenti sono chiusi.