Onderzoekers aan de Radboud Universiteit hebben een kwetsbaarheid in de Mifare Classic-chip ontdekt die door de OV-chipkaart en allerlei andere toegangspassen wordt gebruikt. Daardoor is het mogelijk om de encryptie van de chip in enkele minuten te kraken, iets wat zonder het lek weken zou duren, zo meldt Nu.nl. Vorige week had de Radboud Universiteit zelf al aangekondigd dat veel beveiligingschips nog altijd niet veilig zijn
Zodra de encryptie is gekraakt kan informatie op de chip zowel worden uitgelezen als aangepast. Een aanvaller kan bijvoorbeeld het saldo van de OV-chipkaart aanpassen, locaties waar is ingecheckt aanpassen of codes van toegangspassen kopiëren om zo ergens zonder toestemming binnen te komen.
De kwetsbaarheid werd door de Digital Security Group van de Radboud Universiteit in Nijmegen ontdekt. De onderzoekers rapporteerden de kwetsbaarheid bij chipleverancier NXP. Het bedrijf zou later, als de onderzoekers hun rapport hebben gepubliceerd, met een uitgebreide reactie komen. Het oplossen van de kwetsbaarheid in getroffen chips is niet mogelijk.
Translink Systems, het bedrijf achter de OV-chipkaart, laat in een reactie op de eigen website weten dat er op dit moment geen fraude plaatsvindt. Volgens het bedrijf is de OV-chipkaart nog steeds een betrouwbaar betaalmiddel. "Beveiliging is een kat- en muis spel dat continu aandacht vraagt. Het is een onderdeel van de reguliere bedrijfsvoering van Translink. Fraude helemaal voorkomen, is helaas onmogelijk." In het geval er fraude met een kaart wordt gedetecteerd zal Translink de kaart blokkeren en aangifte doen.
Op 21 april zal Roel Verdult, lid van de Digital Security Group, over zwakheden in wereldwijd gebruikte encryptietechnieken promoveren. Verdult legde zwakheden van de OV-chipkaart al in 2008 bloot toen hij nog student was. Volgens de onderzoekers is het grote probleem de propriëtaire cryptografie, door bedrijven zelfgemaakte versleutelingstechnieken. Deze encryptie zit in een groot aantal producten.
"Juist de dingen die een beetje onder de tafel blijven intrigeren me. Organisaties die zeggen dat hun systeem heel veilig is, maar niet hoe. Waarom zeg je dat dan? Als het veilig is dan moet je het onderliggende algoritme openbaar kunnen maken", laat Verdult weten. Doordat bedrijven de algoritmes geheim houden zitten er ook veel fouten in. "Die fouten zitten veel minder in de versleutelingen die openbaar zijn, omdat ze door iedereen getest kunnen worden totdat de beste overblijft", stelt Verdult.
De onderzoeker pleit er dan ook voor om de zelfgemaakte geheime versleutelingstechnieken te vervangen door veel robuustere openbare technieken. "Deze zijn overigens al decennia lang openbaar, en kosteloos toepasbaar. Helaas laat de praktijk zien dat dergelijke technieken niet altijd worden toegepast."
Deze posting is gelocked. Reageren is niet meer mogelijk.