Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.
Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.
Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.
Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.
De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.
Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.