Zwitserse beveiligingsonderzoekers hebben een manier gevonden om de pincode van Visa-kaarten te omzeilen. Daarvoor gebruikten ze een zelfgemaakte app en moesten ze een betaling via een telefoon uitvoeren.
Het onderzoek werd uitgevoerd door wetenschappers van het Zwitserse Federale Instituut voor Technologie. Ze ontdekten een methode om een man-in-the-middle-aanval uit te voeren op betalingen via Visa-kaarten die met een telefoon worden uitgevoerd. De onderzoekers gebruikten daarvoor een zelfgebouwde app die een kaart emuleert op een smartphone. Ook is het nodig een tweede telefoon te hebben die een betaalterminal emuleert.
De onderzoekers gebruiken de betaalterminalemulator om een Visa-kaart te scannen. Op de eerste telefoon kunnen de onderzoekers de kaart authenticeren zonder de pincode op te geven. Vervolgens wordt het signaal daarvan naar de tweede telefoon gestuurd, waarmee in een winkel kan worden betaald. Zo kunnen ze grote betalingen doen in bijvoorbeeld een winkel zonder de code op te geven.
De kwetsbaarheid zit in het EMV-protocol dat door verschillende betaalproviders wordt ondersteund, in combinatie met Visa's eigen protocol voor contactloze betalingen. Specifiek zit de kwetsbaarheid in de manier waarop een kaart geauthenticeerd wordt tijdens een transactie. Volgens de onderzoekers kan de methode waarmee een kaart tijdens een transactie wordt geverifieerd, worden aangepast. Voor het aanpassen wordt verder geen authenticatie gevraagd en het wordt niet met cryptografie geverifieerd. Het verifiëren gebeurt normaal gesproken met een Card Transaction Qualifier. De onderzoekers wisten die aan te passen. Daardoor konden ze een betaalterminal laten denken dat een pincode niet nodig was. De wetenschappers vonden de kwetsbaarheid door die met Tamarin te analyseren en vervolgens zelf een app te bouwen.
De onderzoekers zeggen dat de app die ze hebben gebouwd, op iedere Android-telefoon werkt. Ze hebben daar geen speciale rootpermissies voor nodig. De onderzoekers hebben niet alleen een proof-of-concept laten zien, maar ook in verschillende echte winkels een test gedaan. Na de ontdekking zouden de onderzoekers Visa hebben benaderd met mogelijke oplossingen. Daarvoor is het niet nodig het EMV-protocol aan te passen of nieuwe kaarten uit te sturen, maar Visa moet wel bestaande terminals via een software-update beveiligen. In het onderzoek staat niet of het bedrijf dat inmiddels heeft gedaan.