image

Lek in smart creditcard laat aanvaller data via Bluetooth stelen

donderdag 5 april 2018, 11:35 door Redactie, 0 reacties

Een onderzoeker heeft in een smart creditcard een kwetsbaarheid gevonden waardoor een aanvaller via Bluetooth creditcardnummers kan stelen en een update van de fabrikant is niet voorhanden. Het lek is aanwezig in de FUZE, een Internet of Things-apparaat dat eruitziet als een normale creditcard.

Via Bluetooth en een smartphone-app is het mogelijk om meerdere creditcards in de FUZE op te slaan. Wanneer de gebruiker ergens wil betalen kan hij via de display op FUZE de gewenste creditcard selecteren. De magneetstrip zal zich vervolgens herprogrammeren om de geselecteerde kaart na te bootsen. Hierna is het mogelijk om de FUZE net als een normale creditcard langs de betaalautomaat te swipen. De FUZE kan 30 betaalkaarten opslaan.

De fabrikant is van plan om ook een versie met een EMV-chip uit te brengen, maar op dit moment is alleen de versie met de magneetstrip verkrijgbaar. Onderzoeker Mike Ryan van ICE9 Consulting besloot de FUZE te onderzoeken en ontdekte een kwetsbaarheid in het gebruikte Bluetooth-protocol. Daardoor kan een aanvaller met fysieke toegang tot een FUZE-kaart het lockscreen omzeilen en vervolgens creditcardnummers, verloopdata en CVV-codes uitlezen, alsmede data op de kaart manipuleren.

"De aanvaller moet fysieke toegang tot de kaart hebben vanwege de manier waarop de kaart Bluetooth Low Energy link layer security gebruikt", merkt Ryan op. Naast het versleutelen van data fungeert deze beveiligingsmaatregel ook als authenticatiemechanisme. Een aanvaller moet met de FUZE-kaart gepaird zijn, anders zal de kaart alle berichten die ernaar toe worden gestuurd weigeren.

Sommige mensen zullen misschien vinden dat de vereiste van fysieke toegang de kwetsbaarheid niet interessant maakt, maar daar is Ryan het niet mee eens. Zo is het gebruikelijk om bij een aankoop een creditcard aan iemand te geven. Daarnaast doet de FUZE zich door het lockscreen voor als een veiliger alternatief voor een normale creditcard. De kwetsbaarheid laat zien dat dit onterecht is en het product een vals gevoel van veiligheid geeft, aldus de onderzoeker.

Ryan waarschuwde fabrikant BrilliantTS op 30 januari van dit jaar. Na een derde e-mail kreeg hij op 5 februari een reactie van een medewerker. Vervolgens stuurde hij het onderzoeksrapport, maar kreeg daarna geen enkele reactie van het bedrijf. Aangezien ICE9 ontwikkelaars en fabrikanten 45 dagen de tijd geeft voor het verhelpen van een gerapporteerde kwetsbaarheid, zijn de details nu openbaar gemaakt, ook al is een update nog niet beschikbaar. "Sommige IoT-ideeën zijn bijzonder lastig. Hoe slecht ze ook klinken, er is altijd iemand die besluit het te doen. En een Bluetooth-creditcard valt hieronder", aldus Ryan.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.