Een beveiligingslek in een gecertificeerde smartcardlezer zorgt ervoor dat aanvallers speciaal gemaakte firmware kunnen installeren, zonder de behuizing te openen. Hierdoor is het mogelijk om pincodes voor digitale documenten te achterhalen of valse informatie op het scherm te tonen. De smartcardlezer van Kobil is door verschillende instellingen getest, waaronder het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI). Die bevestigden dat het apparaat aan de strenge Duitse Signaturgesetz (SigG) voldeed. Ook werd de kaartlezer goedgekeurd voor thuisbankieren en gebruik met financiële applicaties.

Eind april bracht Kobil een patch voor het beveiligingslek uit, die via een Windows tool eenvoudig is uit te rollen. Ondanks een waarschuwing van de Duitse "Bundesnetzagentur", is de boodschap nog niet bij het grote publiek aangekomen. Mede omdat alleen bepaalde partijen over de kwetsbaarheid zijn ingelicht, zo meldt het Duitse Heise.

Volgens professor Rainer Gerling laat de hack zien dat de kwaliteit van een certificering afhankelijk is van de creativiteit en fantasie van de tester. "Dit is een fundamenteel probleem van certificeringen", aldus Gerling.