Een student van de Radboud Universiteit heeft een nieuwe kwetsbaarheid in de ov-chipkaart gevonden. Daardoor zijn zowel de oude als de 'nieuwe' ov-chipkaart getroffen. De kwetsbaarheid is niet op te lossen zonder kaarten te vervangen.
Door de kwetsbaarheid kan de versleuteling van een ov-chipkaart nu in luttele minuten worden gekraakt, waar dat normaliter enkele weken zou duren, schrijft Nu.nl. Daardoor zou een aanvaller bijvoorbeeld het saldo op de kaart kunnen wijzigen, al is het wel een kwestie van tijd voordat dat wordt ontdekt en de desbetreffende kaart wordt geblokkeerd.
Zowel de 'oude' ov-chipkaart, waarvan de Mifare Classic-chip van het Nederlandse NXP al eerder werd gekraakt, als de nieuwe ov-chipkaart is getroffen. Dat komt doordat de nieuwe kaart, die juist is ingevoerd om de kwetsbaarheden van de oude kaart op te lossen, nog wel hetzelfde communicatieprotocol als de oude Mifare Classic-kaarten gebruikt. Overigens werd eerder al een onschuldiger kwetsbaarheid in de Infineon SLE-66-chip gevonden.
"De kwetsbaarheid bevindt zich op de chip, en is niet op te lossen", bevestigt Anita Hilhorst van Trans Link Systems tegenover Tweakers. Dat is de organisatie achter de ov-chipkaart. Om het probleem volledig te verhelpen, zouden alle ov-chipkaarten moeten worden omgewisseld, maar dat is TLS voorlopig niet van plan. "Fraude is nu onder controle, er gebeurt nog niks", aldus Hilhorst.
Dat verandert mogelijk: op deze zomer presenteert de student die het probleem ontdekte, Carlo Meijer, zijn werk. Het is onbekend hoeveel hij over de werking van de hack naar buiten zal brengen; de begeleider van zijn onderzoeksgroep, Bart Jacobs, was niet bereikbaar. Het is echter gebruikelijk dat onderzoekers kwetsbaarheden na een bepaalde periode naar buiten brengen, nadat ze de betrokken bedrijven de kans hebben gegeven om het probleem op te lossen.
TLS zegt de komende tijd in de gaten te zullen houden 'hoe de fraude zich ontwikkelt'. Volgens woordvoerster Hilhorst is het aan de vervoerders om te bepalen of het de moeite waard is om de kaarten te vervangen, of dat de fraude die wordt gepleegd daarvoor niet genoeg financiële schade veroorzaakt. Hilhorst stelt dat het waarschijnlijker is dat de kaarten door natuurlijk verloop zullen worden vervangen.
Overigens zijn ook andere kaarten die het Mifare Classic-protocol gebruiken kwetsbaar voor de aanval. Daarbij gaat het onder meer om toegangspasjes voor hotels en bedrijfsgebouwen. Daarbij moet worden aangetekend dat de oorspronkelijke Mifare Classic-chip al was gekraakt.